- Nhóm tin tặc Trung Quốc Earth Krahang đã xâm nhập 70 tổ chức và nhắm mục tiêu ít nhất 116 tổ chức trên 45 quốc gia kể từ đầu năm 2022.
- 48 tổ chức chính phủ bị xâm nhập, trong đó có 10 Bộ Ngoại giao. 49 cơ quan chính phủ khác cũng bị nhắm mục tiêu.
- Tin tặc khai thác các máy chủ dễ bị tấn công và sử dụng email lừa đảo để triển khai các backdoor tùy chỉnh nhằm mục đích do thám.
- Earth Krahang lạm dụng sự hiện diện trên cơ sở hạ tầng chính phủ bị xâm nhập để tấn công các chính phủ khác, xây dựng máy chủ VPN trên hệ thống bị xâm nhập và thực hiện tấn công brute-force để crack mật khẩu cho các tài khoản email quan trọng.
- Tin tặc sử dụng các công cụ mã nguồn mở để quét máy chủ công khai tìm lỗ hổng cụ thể như CVE-2023-32315 (Openfire) và CVE-2022-21587 (Control Web Panel).
- Họ cũng sử dụng email lừa đảo với chủ đề địa chính trị để dụ người nhận mở tệp đính kèm hoặc nhấp vào liên kết.
- Earth Krahang sử dụng cơ sở hạ tầng bị xâm nhập để lưu trữ payload độc hại, chuyển tiếp lưu lượng tấn công và sử dụng tài khoản email chính phủ bị hack để nhắm mục tiêu đồng nghiệp hoặc chính phủ khác bằng email lừa đảo.
- Các email này chứa tệp đính kèm độc hại thả backdoor vào máy tính nạn nhân, lây lan mã độc và đạt được dự phòng trong trường hợp bị phát hiện và dọn dẹp.
- Nhóm tin tặc cũng xây dựng máy chủ VPN trên các máy chủ công khai bị xâm nhập bằng SoftEtherVPN để thiết lập quyền truy cập vào mạng riêng của nạn nhân.
- Sau khi thiết lập sự hiện diện trên mạng, Earth Krahang triển khai malware và công cụ như Cobalt Strike, RESHELL và XDealer để cung cấp khả năng thực thi lệnh và thu thập dữ liệu.
📌 Earth Krahang, một nhóm tin tặc Trung Quốc, đã xâm nhập 70 tổ chức tại 23 quốc gia kể từ năm 2022, chủ yếu nhắm vào các cơ quan chính phủ. Họ khai thác lỗ hổng, sử dụng email lừa đảo để triển khai backdoor, lạm dụng cơ sở hạ tầng bị xâm nhập để tấn công tiếp, xây dựng VPN và triển khai malware nhằm do thám mạng.
https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/