С 2020 года киберпреступная группировка Earth Longzhi, связанная с известной APT41, проводит масштабные целевые атаки на государственные учреждения, финансовый сектор и ключевые отрасли экономики в Азии и Европе. Эксперты по кибербезопасности выделяют две основные фазы её активности, различающиеся по географии целей и используемым инструментам. Первая кампания (2020–2021) была направлена на Тайвань (правительственные структуры, здравоохранение) и Китай (банковский сектор). Вторая волна атак (2021–2022) затронула более широкий круг жертв, включая оборонные предприятия, авиацию, страховые компании и сферу городского развития не только в Китае и на Тайване, но также в Таиланде, Малайзии, Индонезии, Пакистане и Украине.
Описание
Основной метод заражения в обеих кампаниях остаётся неизменным - фишинговые письма. Злоумышленники используют социальную инженерию, встраивая вредоносное ПО в запароленные архивы или предлагая жертвам ссылки на загрузку. После перехода по такой ссылке пользователь попадает на Google Drive, где его ждёт защищённый паролем архив с загрузчиком Cobalt Strike под названием CroxLoader. Этот инструмент позволяет злоумышленникам получать удалённый доступ к системе и разворачивать дальнейшие атаки.
Интересно, что APT41, к которой относится Earth Longzhi, постепенно отказывается от разработки собственного вредоносного ПО в пользу стандартных инструментов, таких как Cobalt Strike. Это может свидетельствовать о стремлении к большей эффективности и снижению риска обнаружения. Вместо создания уникальных вредоносов группировка сосредоточилась на разработке специализированных загрузчиков и инструментов для обхода систем защиты.
Одним из таких инструментов стал AVBurner, который атакует уязвимые антивирусные решения, использующие устаревшие драйверы. Другие разработки, такие как ProcBurner, нацелены на безопасность на уровне ядра операционной системы, что является новой тенденцией в арсенале APT-групп. Подобные методы позволяют злоумышленникам не только скрывать свою активность, но и получать более глубокий доступ к защищённым системам.
Ещё одной особенностью Earth Longzhi является её знакомство с методами работы "красных команд" - групп этичных хакеров, которые тестируют защиту организаций, имитируя действия реальных злоумышленников. Это говорит о высоком уровне подготовки группировки и её способности адаптироваться к современным системам кибербезопасности.
Эксперты предупреждают, что активность Earth Longzhi и APT41 продолжает представлять серьёзную угрозу для государственных и коммерческих структур. Организациям рекомендуется усилить защиту от фишинга, регулярно обновлять антивирусное ПО и проводить аудит безопасности, чтобы минимизировать риски заражения. Кроме того, важно обучать сотрудников основам кибергигиены, поскольку человеческий фактор остаётся одним из ключевых векторов атак.
Растущая сложность инструментов и методов, используемых Earth Longzhi, указывает на эволюцию киберугроз в сторону более изощрённых и труднообнаруживаемых атак. В условиях цифровой трансформации и увеличения количества уязвимостей в корпоративных системах борьба с такими группами требует не только технологических решений, но и глобального сотрудничества на международном уровне.
Индикаторы компрометации
IPv4
- 139.180.138.226
- 47.108.173.88
Domains
- affice366.com
- c.ymvh8w5.xyz
- vietsovspeedtest.com
SHA256
- 03795a683bf3eb9ed7673522fe7eac45949a824da8043236cd504fd8106e3593
- 1903cd46184aa2b70c74e2bdd47b7bedd2ae7175295d6c1dab904204dedbabca
- 25bfa492e295599fe30d9477ac72a4848c1ee2b71ff92ef7dcca90587c8d0945
- 30b64628aae642380147c7671ea8f864b13c2d2affaaea34c4c9512c8a779225
- 31d71e04ca898cbdb45ffea1c4f45a953e0833964ad2d14c014616acb1666996
- 3ba81d78f3b764dc6e369f24196c41b4cba0764414ad85d42dae5a5f79e871e1
- 3de17542ca2ffefc9572cd2707a664999f157a0fed02ac4abdae5f805f6a77ac
- 41bcdc3fc4c878fb34ebebeff6ff7d158be166d3fc220f3b90f225ae3757f2e8
- 4a438626ac962db91cde46ee2c04c850b46262599bc535b4a08209661d5fb44d
- 4b1b1a1293ccd2c0fd51075de9376ebb55ab64972da785153fcb0a4eb523a5eb
- 4bc4d2ad9b608c8564eb5da5d764644cbb088c2f1cb61427d11f7b2ce4733add
- 5eb94c62e75a8a11b1220f3f716f90bee69010ce4ad61c463be6e66dcaf29379
- 76998c3cef50132d7eb091555b034b03a351bd8639c1c5dc05cf1ea6c19331d9
- 8478718e0bad7fde34f623794e966f662aaf2d7a21d365b45db80b2a0349ed8a
- 86598469671d83cd5525a89e2d1ae83f1f9529420c3325a746d84acffeb876ec
- 883064cdeeddd5ccbfa74dacc1d8a8b5a0d2c9794c59acef186dd7105594fdcc
- 8d3216c2fdbec7fc7a9af4e2d142e021d37037a187739d5aab2fa0351e8f4ec7
- 8e2aac4e7776f66da785171baeee473e41cb88c60e535b80980d55ac7f873c5c
- 90a1e3ff729b7b91ca82e7981d2c65bf6c4b8fb2204bf9394d2072d9caa70126
- 947fdef565d889d3d919d8d81014d718f2d22ef3ed0049c98960f7330f51f41f
- 969ac3517ae9c472e436c547a6721f426a675ad8dece53c3f8e79ba44aa884eb
- a0bde01e83ccc42c0729b813108dd3da96a9bc175b3ad53807387bbf84d58112
- b6d2f4d9edd7b08c9841cca69c5cb6b312fa9ad1c19a447a26e915e1fd736e09
- bd959353bc6c05b085fc37589ea2ccd2c91aaf05ec7cf1a487f5de7fa0abc962
- c80289a1f293dceb71230cf0dbd0a45b9444519b1367a5ba04e990ea6acf6503
- f8fa90be3e6295c275a4d23429e8738228b70693806ed9b2f482581487cb8e08
