Η κινεζική ομάδα hacking Earth Longzhi εμφανίστηκε ξανά με μια νέα εκστρατεία με στόχο κυβερνητικές, υγειονομικές, τεχνολογικές και κατασκευαστικές οντότητες που εδρεύουν στην Ταϊβάν, την Ταϊλάνδη, τις Φιλιππίνες και τα Φίτζι, μετά από έξι και πλέον μήνες απραξίας.
Δείτε επίσης: Είναι η παραπληροφόρηση το νέο malware;
Η Trend Micro απέδωσε την εισβολή σε μια ομάδα κατασκοπείας στον κυβερνοχώρο που παρακολουθεί με το όνομα “Earth Longzhi”, η οποία είναι μια υποομάδα εντός της APT41 (γνωστή και ως “HOODOO” ή “Winnti”) και μοιράζεται overlaps με διάφορες άλλες ομάδες που είναι γνωστές ως “Earth Baku”, “SparklingGoblin” και “GroupCC”.
Η Earth Longzhi καταγράφηκε για πρώτη φορά από την εταιρεία κυβερνοασφάλειας τον Νοέμβριο του 2022, περιγράφοντας λεπτομερώς τις επιθέσεις της εναντίον διαφόρων οργανισμών που βρίσκονται στην Ανατολική και Νοτιοανατολική Ασία, καθώς και στην Ουκρανία.
Οι αλυσίδες επιθέσεων που έχουν δημιουργηθεί από τον απειλητικό παράγοντα αξιοποιούν ευάλωτες εφαρμογές public-facing ως σημεία εισόδου για την ανάπτυξη του BEHINDER web shell και στη συνέχεια αξιοποιούν αυτή την πρόσβαση για το drop πρόσθετων ωφέλιμων φορτίων, συμπεριλαμβανομένης μιας νέας παραλλαγής του Cobalt Strike loader που ονομάζεται CroxLoader.
Δεν είναι σε καμία περίπτωση η πρώτη φορά που η Earth Longzhi αξιοποιεί την τεχνική BYOVD, με προηγούμενες εκστρατείες να χρησιμοποιούν τον ευάλωτο driver RTCore64.sys για να περιορίσουν την εκτέλεση προϊόντων ασφαλείας.
Δείτε επίσης: Η ομάδα hacking ScarCruft διασπείρει το RokRAT malware
Το κακόβουλο λογισμικό, που ονομάστηκε SPHijacker, χρησιμοποιεί επίσης μια δεύτερη μέθοδο που αναφέρεται ως “stack rumbling” για να επιτύχει τον ίδιο στόχο.Αυτό συνεπάγεται την εσκεμμένη πρόκληση κατάρρευσης των στοχευόμενων εφαρμογών κατά την εκκίνηση.
Οι δύο αυτές προσεγγίσεις απέχουν πολύ από το να είναι οι μόνες μέθοδοι που μπορούν να χρησιμοποιηθούν για την υποβάθμιση των προϊόντων ασφαλείας. Τον περασμένο μήνα, το Deep Instinct περιέγραψε λεπτομερώς μια νέα τεχνική code injection που βαφτίστηκε “Dirty Vanity” και εκμεταλλεύεται τον μηχανισμό απομακρυσμένης διακλάδωσης των Windows για να παρακάμψει τα συστήματα ανίχνευσης endpoint.
Επιπλέον, το driver payload εγκαθίσταται ως υπηρεσία σε επίπεδο kernel χρησιμοποιώντας το Microsoft Remote Procedure Call (RPC) της Microsoft, σε αντίθεση με τα API των Windows, για να αποφύγει την ανίχνευση.
Στις επιθέσεις παρατηρήθηκε η χρήση ενός dropper που βασίζεται σε DLL, με την ονομασία Roxwrapper, για την παράδοση ενός άλλου φορτωτή Cobalt Strike, με την ονομασία BigpipeLoader, καθώς και ενός εργαλείου κλιμάκωσης προνομίων (dwm.exe) που κάνει κατάχρηση του Windows Task Scheduler για την εκκίνηση ενός συγκεκριμένου ωφέλιμου φορτίου με προνόμια SYSTEM.
Δείτε επίσης: Η ransomware επίθεση συνεχίζεται στο Πανεπιστήμιο Bluefield
Το καθορισμένο ωφέλιμο φορτίο, dllhost.exe, είναι ένα πρόγραμμα λήψης που μπορεί να ανακτήσει το κακόβουλο λογισμικό επόμενου σταδίου από έναν server που ελέγχεται από τον απειλητικό παράγοντα.
Αξίζει να επισημανθεί εδώ ότι το dwm.exe βασίζεται σε ένα proof-of-concept (PoC) ανοικτού κώδικα που είναι διαθέσιμο στο GitHub, γεγονός που υποδηλώνει ότι ο δράστης αντλεί έμπνευση από υπάρχοντα προγράμματα για να βελτιώσει το οπλοστάσιό του με κακόβουλο λογισμικό.
Η Trend Micro ανέφερε επίσης ότι εντόπισε παραπλανητικά έγγραφα γραμμένα στα βιετναμέζικα και τα ινδονησιακά, υποδεικνύοντας πιθανές προσπάθειες να στοχεύσουν χρήστες σε αυτές τις δύο χώρες στο μέλλον.
Πηγή πληροφοριών: thehackernews.com
