Μια hacking εκστρατεία που φαίνεται να σχετίζεται με τους Κινέζους hackers «Earth Krahang», έχει παραβιάσει 70 οργανισμούς και έχει στοχεύσει τουλάχιστον 116 σε 45 χώρες.
Σύμφωνα με ερευνητές της Trend Micro, η εκστρατεία έχει ξεκινήσει από τις αρχές του 2022 και εστιάζει κυρίως σε κυβερνητικούς οργανισμούς.
Οι Κινέζοι hackers έχουν παραβιάσει 48 κυβερνητικούς οργανισμούς, 10 εκ των οποίων είναι υπουργεία Εξωτερικών. Έχουν, ακόμα, στοχεύσει άλλες 49 κυβερνητικές υπηρεσίες.
Ουσιαστικά, οι επιτιθέμενοι εκμεταλλεύονται ευάλωτους διακομιστές που είναι εκτεθειμένοι στο Διαδίκτυο και στέλνουν spear-phishing emails για τη μόλυνση συστημάτων με backdoors. Αυτά τα backdoors χρησιμοποιούνται για κυβερνοκατασκοπεία.
Δείτε επίσης: Hackers εκμεταλλεύονται τη Venmo για phishing επιθέσεις
Οι Κινέζοι hackers Earth Krahang καταχρώνται την παρουσία τους σε κρατικές υποδομές (που έχουν παραβιάσει) για να επιτεθούν σε άλλες κυβερνήσεις. Επίσης, δημιουργούν VPN servers σε παραβιασμένα συστήματα και εκτελούν brute-forcing επιθέσεις για να σπάσουν κωδικούς πρόσβασης και να αποκτήσουν πρόσβαση σε πολύτιμους λογαριασμούς email.
Οι hackers χρησιμοποιούν εργαλεία open-source για τη σάρωση διακομιστών που είναι εκτεθειμένοι στο διαδίκτυο. Στόχος τους είναι να βρουν διακομιστές που είναι ευάλωτοι σε συγκεκριμένες ευπάθειες, όπως το CVE-2023-32315 (Openfire) και το CVE-2022-21587 (Control Web Panel).
Οι Earth Krahang hackers εκμεταλλεύονται τις ευπάθειες αυτές και αναπτύσσουν webshells για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και να εδραιώσουν persistence στα δίκτυα των θυμάτων.
Εναλλακτικά, χρησιμοποιούν το spear-phishing για την αρχική πρόσβαση, χρησιμοποιώντας θέματα που αφορούν γεωπολιτικά γεγονότα. Τα emails περιέχουν συνημμένα ή συνδέσμους, τα οποία οι παραλήπτες καλούνται να ανοίξουν.
Μόλις εισέλθουν στο δίκτυο, οι Κινέζοι hackers Earth Krahang χρησιμοποιούν την παραβιασμένη υποδομή για να φιλοξενήσουν κακόβουλα payloads, proxy attack traffic, ενώ χρησιμοποιούν και παραβιασμένους κυβερνητικούς λογαριασμούς email για να στοχεύσουν συναδέλφους ή άλλες κυβερνητικές υπηρεσίες.
Δείτε επίσης: LockBit ransomware: Φυλακίζεται hacker-μέλος της ομάδας
“Σε μια περίπτωση, οι επιτιθέμενοι χρησιμοποίησαν ένα παραβιασμένο mailbox από μια κυβερνητική οντότητα, για να στείλουν ένα κακόβουλο συνημμένο σε 796 διευθύνσεις email που ανήκουν στην ίδια οντότητα“.
Το κακόβουλο συνημμένο περιέχει backdoor που μολύνει τους υπολογιστές των θυμάτων, εξαπλώνοντας τη μόλυνση.
Η Trend Micro λέει ότι οι επιτιθέμενοι χρησιμοποιούν παραβιασμένους λογαριασμούς Outlook για να κάνουν brute force Exchange credentials. Επίσης, οι ερευνητές εντόπισαν Python scripts που ειδικεύονται στην εξαγωγή email από διακομιστές Zimbra.
Οι Κινέζοι hackers Earth Krahang δημιουργούν, επίσης, VPN servers σε παραβιασμένους διακομιστές χρησιμοποιώντας το SoftEtherVPN για να δημιουργήσουν πρόσβαση στα ιδιωτικά δίκτυα των θυμάτων τους και να εξαπλωθούν μέσα σε αυτά.
Έχοντας εδραιώσει την παρουσία τους στο δίκτυο, οι Eath Krahang αναπτύσσουν κακόβουλο λογισμικό και εργαλεία όπως τα Cobalt Strike, RESHELL και XDealer, τα οποία παρέχουν δυνατότητες εκτέλεσης εντολών και συλλογής δεδομένων.
Οι επιθέσεις αυτού του είδους μπορούν να έχουν σοβαρές συνέπειες για τους οργανισμούς-στόχους. Μπορεί να υπάρξει μια σημαντική απώλεια εμπιστευτικών και ευαίσθητων δεδομένων, τα οποία μπορούν να περιλαμβάνουν προσωπικές πληροφορίες, εταιρικά μυστικά ή άλλες πληροφορίες που μπορούν να χρησιμοποιηθούν για κακόβουλους σκοπούς.
Έπειτα, οι επιθέσεις των Κινέζων hackers Earth Krahang μπορεί να προκαλέσουν σημαντικές οικονομικές απώλειες. Αυτό μπορεί να οφείλεται στο κόστος της αντιμετώπισης της επίθεσης, της αποκατάστασης των συστημάτων και των δεδομένων, καθώς και της αποκατάστασης της εμπιστοσύνης του κοινού. Η στόχευση κυβερνητικών υπηρεσιών προκαλεί πάντα μεγάλη αναστάτωση.
Δείτε επίσης: Microsoft: Οι Ρώσοι hackers Midnight Blizzard έκλεψαν source code και άλλα στοιχεία
Οι οργανισμοί πρέπει να ενημερώνονται συνεχώς για τις τελευταίες απειλές κυβερνοασφάλειας και τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι.
Επιπλέον, είναι σημαντικό να υπάρχει ένα ισχυρό σύστημα ασφάλειας πληροφοριών που περιλαμβάνει τακτικά αναθεωρημένες πολιτικές και διαδικασίες ασφάλειας, καθώς και τη χρήση τεχνολογιών προστασίας από επιθέσεις.
Η εκπαίδευση του προσωπικού είναι εξίσου κρίσιμη. Το προσωπικό πρέπει να είναι ενήμερο για τις τρέχουσες απειλές και τρόπους προστασίας, καθώς και για τη σημασία της προστασίας των πληροφοριών του οργανισμού. Είναι σημαντικό να μπορεί κάποιος να αναγνωρίζει ύποπτα emails και μηνύματα, καθώς η μόλυνση συστημάτων γίνεται συχνά μέσω phishing.
πηγή: www.bleepingcomputer.com