.
Os ciberespiões chineses comprometeram pelo menos 70 organizações, principalmente entidades governamentais, e atingiram mais de 116 vítimas em todo o mundo, segundo investigadores de segurança.
A equipe de hackers apoiada por Pequim, apelidada de Earth Krahang, explora servidores públicos e usa e-mails de phishing para implantar dois backdoors personalizados, de acordo com a Trend Micro, que monitora a campanha de espionagem cibernética desde o início de 2022.
“Uma das táticas favoritas dos atores da ameaça envolve usar seu acesso malicioso à infraestrutura governamental para atacar outras entidades governamentais, abusar da infraestrutura para hospedar cargas maliciosas, tráfego de ataque por proxy e enviar e-mails de spear-phishing para alvos relacionados ao governo usando contas de e-mail governamentais comprometidas. ”, disseram Joseph Chen e Daniel Lunghi em pesquisa publicada na segunda-feira.
Segundo nos disseram, o Earth Krahang também usa ataques de força bruta para obter credenciais e roubar e-mails das vítimas.
Embora as organizações governamentais pareçam ser o foco principal da gangue – o departamento de segurança afirma ter encontrado pelo menos 48 entidades governamentais comprometidas, sendo outras 49 alvos – ela também persegue a educação, as telecomunicações e outros setores.
Estas vítimas estavam espalhadas por 23 países diferentes, principalmente na Ásia e na América, mas também na Europa e em África.
Earth Krahang compartilha conexões “múltiplas” com outra gangue apoiada pelo Estado chinês, Earth Lusca, e ligações potenciais com I-Soon, o contratante de segurança chinês que recentemente teve uma coleção de documentos vazados no GitHub. Os arquivos continham muitos detalhes sobre as extensas campanhas de hackers de Pequim contra governos estrangeiros.
“Usando essas informações vazadas, descobrimos que a empresa organizou sua equipe de penetração em dois subgrupos diferentes”, segundo Trend, que teoriza que Earth Lusca e Earth Krahang poderiam ser as duas equipes de penetração do I-Soon.
Os ciberespiões usam ferramentas de varredura de código aberto para encontrar servidores públicos que possam comprometer. Eles também usam ferramentas de verificação de vulnerabilidades, incluindo sqlmap, núcleos, xray, vscan, pocsuite e wordpressscan para encontrar pontos de entrada em servidores web, a partir dos quais podem descartar shells web e instalar backdoors.
A Trend diz que detectou Earth Krahang explorando CVE-2023-32315 no OpenFire e CVE-2022-21587 no Oracle Web Applications Desktop Integrator “várias vezes”.
Ele também usa e-mails de phishing com iscas com temática geopolítica destinadas a enganar os alvos para que abram um anexo malicioso ou cliquem em um URL, o que permite que a equipe de hackers faça backdoor na máquina da vítima.
Alguns dos assuntos de e-mail usados incluem “Circular do Ministério da Defesa da Malásia”, “Ministro da Defesa da Malásia visita a Hungria” e “Audições públicas da CIJ – Guiana vs. Venezuela”.
O Earth Krahang normalmente rouba centenas de endereços de e-mail de suas vítimas e depois usa as contas comprometidas para fazer phishing em outros alvos governamentais. “Em um caso, o ator usou uma caixa de correio comprometida de uma entidade governamental para enviar um anexo malicioso para 796 endereços de e-mail pertencentes à mesma entidade”, escreveram Chen e Lunghi.
A gangue também instala a VPN SoftEther em servidores públicos comprometidos, o que permite conectar-se à rede da vítima e mover-se lateralmente, instalar backdoors para manter a persistência e acessar credenciais.
Embora use Cobalt Strike, Earth Krahang também possui dois backdoors personalizados, RESHELL e XDealer, que usa em ataques.
RESHELL, um backdoor .NET que pode coletar informações, descartar arquivos e executar comandos do sistema, foi usado várias vezes em 2022. Anteriormente, a Unidade 42 da Palo Alto Networks documentou seu uso em um ataque direcionado contra um governo do Sudeste Asiático.
Desde 2023, no entanto, Earth Krahang usa o XDealer [PDF]também rastreado como DinodasRAT, que tem mais recursos e pode atingir máquinas Windows e Linux:
Há toda uma lista de indicadores de comprometimento que as organizações, especialmente as entidades governamentais, deveriam verificar aqui.
Considerando a preferência da gangue por alvos de alto valor e o uso de infraestrutura governamental comprometida para fins de espionagem, a Trend recomenda que as organizações treinem seus funcionários sobre como evitar phishing e outros ataques de engenharia social. E, como sempre, aconselha fortemente as pessoas a não clicarem em links ou abrirem anexos antes de verificar a identidade do remetente.
Além disso, certifique-se de que o software esteja atualizado e que os patches de segurança estejam instalados para não dar ao Earth Krahang ou a qualquer outro cibercriminoso uma maneira fácil de invadir.
.
