В начале 2022 года TrendMicro расследовали инцидент, в результате которого была скомпрометирована компания в Тайване. Вредоносное ПО, использованное в инциденте, представляло собой простой, но собственный загрузчик Cobalt Strike. Однако после дальнейшего расследования мы обнаружили инциденты, направленные на несколько регионов, в которых использовался аналогичный загрузчик Cobalt Strike. Анализируя сходство кода и тактики, приемов и процедур (ТТП), обнаружили, что организатор этой атаки действует с 2020 года.
После кластеризации каждого вторжения TrendMicro пришли к выводу, что угрожающий агент - это новая подгруппа группы передовых постоянных угроз (APT) APT41, которую мы назвали Earth Longzhi.
Earth Longzhi
С момента начала активной деятельности в 2020 году длительную кампанию Earth Longzhi можно разделить на две, исходя из диапазона времени и набора инструментов. Во время первой кампании, развернутой в период с 2020 по 2021 год, Earth Longzhi нацелилась на правительственные структуры, инфраструктуру и здравоохранение на Тайване и банковский сектор в Китае. Во время второй кампании с 2021 по 2022 год целью группы стали высокопоставленные жертвы в оборонной, авиационной, страховой и градостроительной отраслях на Тайване, в Китае, Таиланде, Малайзии, Индонезии, Пакистане и Украине.
В обеих кампаниях в качестве основного вектора проникновения для доставки вредоносной программы Earth Longhzhi использовались письма с фишингом. Злоумышленник внедряет вредоносное ПО в защищенный паролем архив или делится ссылкой для загрузки вредоносной программы, заманивая жертву информацией о человеке. После открытия ссылки жертва перенаправляется на Google Drive, где находится защищенный паролем архив с загрузчиком Cobalt Strike, который мы назвали CroxLoader.
В некоторых случаях также обнаружили, что группа использовала общедоступные приложения для развертывания и выполнения простого загрузчика, чтобы загрузить загрузчик шеллкода и необходимые инструменты для взлома.
Indicators of Compromise
IPv4
- 139.180.138.226
- 47.108.173.88
Domains
- c.ymvh8w5.xyz
- www.affice366.com
- www.vietsovspeedtest.com
SHA256
- 03795a683bf3eb9ed7673522fe7eac45949a824da8043236cd504fd8106e3593
- 1903cd46184aa2b70c74e2bdd47b7bedd2ae7175295d6c1dab904204dedbabca
- 25bfa492e295599fe30d9477ac72a4848c1ee2b71ff92ef7dcca90587c8d0945
- 30b64628aae642380147c7671ea8f864b13c2d2affaaea34c4c9512c8a779225
- 31d71e04ca898cbdb45ffea1c4f45a953e0833964ad2d14c014616acb1666996
- 3ba81d78f3b764dc6e369f24196c41b4cba0764414ad85d42dae5a5f79e871e1
- 3de17542ca2ffefc9572cd2707a664999f157a0fed02ac4abdae5f805f6a77ac
- 41bcdc3fc4c878fb34ebebeff6ff7d158be166d3fc220f3b90f225ae3757f2e8
- 4a438626ac962db91cde46ee2c04c850b46262599bc535b4a08209661d5fb44d
- 4b1b1a1293ccd2c0fd51075de9376ebb55ab64972da785153fcb0a4eb523a5eb
- 4bc4d2ad9b608c8564eb5da5d764644cbb088c2f1cb61427d11f7b2ce4733add
- 5eb94c62e75a8a11b1220f3f716f90bee69010ce4ad61c463be6e66dcaf29379
- 76998c3cef50132d7eb091555b034b03a351bd8639c1c5dc05cf1ea6c19331d9
- 8478718e0bad7fde34f623794e966f662aaf2d7a21d365b45db80b2a0349ed8a
- 86598469671d83cd5525a89e2d1ae83f1f9529420c3325a746d84acffeb876ec
- 883064cdeeddd5ccbfa74dacc1d8a8b5a0d2c9794c59acef186dd7105594fdcc
- 8d3216c2fdbec7fc7a9af4e2d142e021d37037a187739d5aab2fa0351e8f4ec7
- 8e2aac4e7776f66da785171baeee473e41cb88c60e535b80980d55ac7f873c5c
- 90a1e3ff729b7b91ca82e7981d2c65bf6c4b8fb2204bf9394d2072d9caa70126
- 947fdef565d889d3d919d8d81014d718f2d22ef3ed0049c98960f7330f51f41f
- 969ac3517ae9c472e436c547a6721f426a675ad8dece53c3f8e79ba44aa884eb
- a0bde01e83ccc42c0729b813108dd3da96a9bc175b3ad53807387bbf84d58112
- b6d2f4d9edd7b08c9841cca69c5cb6b312fa9ad1c19a447a26e915e1fd736e09
- bd959353bc6c05b085fc37589ea2ccd2c91aaf05ec7cf1a487f5de7fa0abc962
- c80289a1f293dceb71230cf0dbd0a45b9444519b1367a5ba04e990ea6acf6503
- f8fa90be3e6295c275a4d23429e8738228b70693806ed9b2f482581487cb8e08