Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

Глобальная кибершпионская кампания Earth Krahang: как APT-группа атакует правительства через доверие между странами

APT

Специалисты по кибербезопасности выявили масштабную операцию группы Earth Krahang, действующей с 2022 года и нацеленной на правительственные структуры по всему миру. Анализ тактик, техник и процедур (TTP) демонстрирует изощренный подход злоумышленников, использующих межправительственное доверие для проникновения в системы.

Описание

За двухлетний период активности Earth Krahang скомпрометировала около 70 организаций в 23 странах, причем 48 из подтвержденных жертв являются правительственными учреждениями. В одной из стран группе удалось проникнуть в организации 11 различных министерств, что свидетельствует о системном характере атак.

Особенностью операций Earth Krahang стало стратегическое использование скомпрометированной правительственной инфраструктуры для атак на другие государственные органы. Злоумышленники размещали вредоносные нагрузки на взломанных государственных серверах, использовали правительственные почтовые ящики для рассылки целевых фишинговых писем и проксировали атакующий трафик через официальные ресурсы.

В ходе разведывательной деятельности группа собирала сотни электронных адресов государственных служащих. В одном из инцидентов злоумышленники использовали скомпрометированный правительственный почтовый ящик для рассылки вредоносного RAR-архива 796 адресатам внутри того же ведомства. Архив содержал LNK-файл, который устанавливал вредоносную программу Xdealer и отображал документ-приманку, связанный с деятельностью агентства.

Для первоначального доступа Earth Krahang активно сканировала общедоступные серверы, используя рекурсивный поиск папок типа .git и .idea, перебор директорий и перечисление поддоменов для обнаружения неподдерживаемых или неправильно сконфигурированных активов. Группа применяла сканеры уязвимостей и фреймворки эксплуатации, включая sqlmap, nuclei, xray, vscan, pocsuite и wordpressscan, для идентификации уязвимостей, предоставляющих доступ к серверам. Особое внимание злоумышленники уделяли уязвимостям удаленного выполнения команд, в частности CVE-2023-32315 в OpenFire и CVE-2022-21587 в Oracle WADI.

Ключевым элементом атак стало использование доверенных отношений между правительствами. Earth Krahang взламывала государственные веб-серверы для размещения бэкдоров, после чего распространяла ссылки для их загрузки через целевые фишинговые письма другим правительственным структурам. Это делало вредоносные ссылки легитимными в глазах жертв и потенциально позволяло обходить доменные черные списки. Для рассылки писем группа использовала скомпрометированные правительственные учетные записи электронной почты с темами, ориентированными на текущие политические события, такими как "Malaysian Ministry of Defense Circular", "ICJ public hearings- Guyana vs. Venezuela" и другими.

Техника выполнения атак включала использование Python-скриптов для экспорта почтовых сообщений с серверов Zimbra через API с использованием украденных аутентифицированных cookies. Для обеспечения устойчивости в системе злоумышленники устанавливали SoftEther VPN на скомпрометированные общедоступные серверы, используя команды certutil для загрузки и установки бинарного файла VPN-сервера. Это позволяло устанавливать постоянный доступ к сети жертвы для последующего перемещения внутри сети и эксфильтрации данных.

Эскалация привилегий осуществлялась через эксплуатацию уязвимостей программного обеспечения, включая CVE-2021-4034 (PwnKit), CVE-2021-22555 и CVE-2016-5195 (Dirty COW) для получения повышенных прав в Linux-системах. Для обхода защитных механизмов группа применяла маскировку, переименовывая исполняемый файл SoftEther server в taskllst.exe, tasklist.exe или tasklist_32.exe в Windows и в curl в Linux, чтобы файлы выглядели как легитимные системные компоненты.

Широко использовалась техника DLL side-loading, когда легитимный файл fontsets.exe использовался для загрузки пользовательского загрузчика shellcode faultrep.dll, который декодировал встроенный shellcode из faultrep.dat с последующей загрузкой Cobalt Strike. Для перемещения внутри сети Earth Krahang настраивала протокол удаленного рабочего стола (RDP), изменяя системные настройки через реестр Windows.

Анализ кампании Earth Krahang демонстрирует эволюцию методов APT-групп, которые все чаще используют доверительные отношения между организациями для усиления эффективности атак. Эксперты подчеркивают необходимость усиления контроля за межправительственными коммуникациями и внедрения многофакторной аутентификации для критически важных систем.

Индикаторы компрометации

SHA1

  • 97c668912c29b8203a7c3bd7d5d690d5c4e5da53
  • a94d0e51df6abbc4a7cfe84e36eb8f38bc011f46
Комментарии: 0
Похожие записи
0
31.05.2025
Индикаторы компрометации

StealC v2: новый уровень угрозы для данных пользователей

Stealer
В марте 2025 года появилась вторая версия вредоносного ПО StealC, значительно усилившая свои возможности по краже данных и скрытности. Разработчики внедрили JSON-протокол для взаимодействия с сервером
0
30.09.2025
Индикаторы компрометации

Crypto24: новая волна корпоративного вымогательства с продвинутым арсеналом

ransomware
В конце 2023 года на киберпреступной арене появилась высокоорганизованная группа, известная как Crypto24, которая быстро превратилась в серьезную угрозу для крупного бизнеса в Азии, Европе и США.
0
03.10.2025
Индикаторы компрометации

Кибергруппировка RomCom: от регионального шпионажа к глобальным гибридным атакам

APT
Группа RomCom, также известная как Storm-0978, Tropical Scorpius и Void Rabisu, претерпела значительную эволюцию от региональной кибершпионской организации до сложной гибридной угрозы международного масштаба.
0
13.06.2025
Индикаторы компрометации

Katz Stealer: новый опасный малварь для кражи данных с функциями скрытности и модульности

Stealer
В 2025 году появился новый вредоносный инструмент Katz Stealer, работающий по модели Malware-as-a-Service (MaaS). Он сочетает агрессивные методы кражи учетных данных, снятие цифровых отпечатков системы