Un grupo de espionaje chino no identificado previamente ha logrado violar al menos 70 organizaciones en 23 países, incluidas 48 en el espacio gubernamental, a pesar de utilizar tácticas, técnicas y procedimientos (TTP) bastante estándar.
"Earth Krahang" no parece ser una APT militar de alto nivel. En un nuevo informe, investigadores de Trend Micro sugirieron que puede ser un ala de iSoon, una operación privada de piratería a sueldo contratado por el Partido Comunista Chino (PCC). Y para adaptarse a una operación de cibercrimen de este tipo, en lugar de emplear malware ultrasofisticado y tácticas sigilosas, utiliza un arsenal de herramientas en gran parte de código abierto y bien documentadas, además de vulnerabilidades de un día e ingeniería social estándar, para derrotar a sus objetivos.
A pesar de esto, su lista de víctimas rivaliza con la de personas como tifón de voltios, tecnología negray Panda Mustang.
Habiendo apuntado a no menos de 116 organizaciones en 35 países, el grupo tiene al menos 70 compromisos confirmados, incluidas cuatro docenas asociadas con varios gobiernos del mundo. En un caso, logró violar una amplia gama de organizaciones conectadas con 11 ministerios gubernamentales. Las víctimas también abarcan los sectores de educación y telecomunicaciones, finanzas, TI, deportes y más. La mayor concentración de víctimas proviene de Asia, pero los casos abarcan también América (México, Brasil, Paraguay), Europa (Gran Bretaña, Hungría) y África (Egipto, Sudáfrica).
"El uso de herramientas de código abierto para comprometer entidades gubernamentales es notable, pero no del todo sorprendente", dice Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start. "Los gobiernos suelen tener infraestructuras de TI vastas y complejas, lo que puede generar inconsistencias en las prácticas de seguridad y dificultar la defensa contra todo tipo de ataques, incluidos aquellos que utilizan herramientas básicas de código abierto".
Tácticas de intrusión de Earth Krahang
Algunas APT chinas exitosas se distinguen por días cero únicos or tácticas complejas que logran mejor que todos los demás.
Earth Krahang es más bien un experto en todos los oficios.
Su primer paso es escanear la Web en busca de servidores públicos de interés, como aquellos conectados a organizaciones gubernamentales. Para comprobar las vulnerabilidades que puede aprovechar, utiliza una de las numerosas herramientas disponibles en el mercado de código abierto, incluidas sqlmap, nuclei, xray, vscan, pocsuite y wordpressscan. Dos errores en particular de los que a Earth Krahang le gusta aprovecharse son CVE-2023-32315, un error de ejecución de comandos en el servidor de colaboración en tiempo real Openfire con una calificación de 7.5 según CVSS, y CVE-2022-21587, un problema crítico de ejecución de comandos con una calificación de 9.8. con Web Applications Desktop Integrator en E-Business Suite de Oracle.
Después de establecer un punto de apoyo en un servidor público, el grupo utiliza más software de código abierto para buscar archivos confidenciales, contraseñas (particularmente de correo electrónico) y otros recursos útiles, como subdominios solitarios que podrían apuntar a más servidores sin mantenimiento. También emplea una serie de ataques de fuerza bruta, por ejemplo, utilizando una lista de contraseñas comunes para descifrar servidores Microsoft Exchange a través de Outlook en la Web.
“Si bien puede parecer que el código abierto debería ser fácil de detectar”, afirma Jon Clay, vicepresidente de inteligencia de amenazas de Trend Micro, “la realidad es que hay muchos TTP que deben encontrarse y detectarse. Además, el uso de tácticas de evasión de defensa por parte de este adversario puede utilizarse para garantizar que las víctimas no puedan defenderse”.
Las tácticas de explotación y sigilo de Earth Krahang
Al final de todo esto (y mucho más), el atacante puede realizar dos acciones principales: abrir puertas traseras en servidores comprometidos y secuestrar cuentas de correo electrónico.
Este último es de particular utilidad. "El uso de sistemas y cuentas de correo electrónico legítimos para respaldar su ataque es particularmente interesante aquí, porque este adversario usa cuentas legítimas para engañar a la víctima haciéndole creer que está a salvo", explica Clay. Con una lista de contactos de alto valor y la legitimidad obtenida al utilizar una cuenta auténtica, el grupo envía correos electrónicos con líneas de asunto que se ajustan a los requisitos (como “Circular del Ministerio de Defensa de Malasia”), URL o archivos adjuntos maliciosos y nombres de archivos que no lo hacen. lo mismo, por ejemplo, “Sobre la visita del Ministro de Relaciones Exteriores de Paraguay a Turkmenistán.exe”.
Ya sea por correo electrónico o por una vulnerabilidad en un servidor web, los diversos objetivos de Earth Krahang terminan descargando una o varias puertas traseras.
En sus primeros ataques, alrededor de 2022, el grupo utilizó “RESHELL”, una herramienta .NET bastante simple hecha a medida para recopilar información, descartar archivos y ejecutar comandos del sistema, con comunicación de comando y control (C2) cifrada con AES.
En 2023, el grupo pasó a “XDealer”, que tiene capacidades adicionales que incluyen registro de teclas, captura de pantalla y robo del portapapeles. Además de ser compatible tanto con Windows como con Linux, XDealer también destaca porque algunos de sus cargadores contienen certificados de firma de código válidos. Trend Micro especula que estos certificados (uno perteneciente a una empresa legítima de recursos humanos y el otro a una empresa de desarrollo de juegos) probablemente fueron robados para proporcionar una capa adicional de cobertura al descargar el malware a nuevos sistemas.
Earth Krahang también ha hecho uso de amenazas antiguas como PlugX y Shadowpad, y con frecuencia implementa Cobalt Strike en combinación con otra herramienta de código abierto (RedGuard) que impide que los analistas de ciberseguridad identifiquen su infraestructura C2.
Debido a que el actor de amenazas es relativamente directo, Guenther sugiere que “se recomiendan las mejores prácticas estándar para protegerse contra estos TTP. Las organizaciones deben mejorar la seguridad de su correo electrónico para defenderse contra el phishing, actualizar y parchear periódicamente sus sistemas para protegerlos contra vulnerabilidades conocidas y emplear la segmentación de la red para limitar la propagación de un atacante dentro de sus redes. La monitorización del tráfico anormal de la red y los patrones de acceso inusuales también puede ayudar a la detección temprana de este tipo de campañas”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
