Обнаружена китайская хак-группа Earth Lusca

Согласно отчету Trend Micro, китайская кибершпионская группировка Earth Lusca не только следит за стратегическими целями, но также занимается финансово мотивированными атаками для получения прибыли, пишет Хакер.

Исследователи пишут, что последние годы хак-группа шпионила за самыми разными целями, которые могли представлять интерес для китайского правительства, например:

• государственные учреждения Тайваня, Таиланда, Филиппин, Вьетнама, ОАЭ, Монголии и Нигерии;
• учебные заведения Тайваня, Гонконга, Японии и Франции;
• СМИ на Тайване, в Гонконге, Австралии, Германии и Франции;
• продемократические и правозащитные политические организации и движения в Гонконге;
• исследовательские организации, изучающие COVID-19 в США;
• телекоммуникационные компании Непала;
• религиозные движения, запрещенные в материковом Китае

Интересно, что одновременно с этим группировка успевала атаковать игорные компании в Китае и различные криптовалютные платформы, похищая чужие средства.

Издание The Record отмечает, что хак-группы, практикующие как финансово мотивированные, так и шпионские атаки, в последнее время перестают быть редкостью. Например, хакеры из Ирана взламывают VPN-устройства по всему миру, выбирают важные цели, необходимые им для сбора данных, а «излишки» продают в даркнете, на форумах, которые часто посещают операторы шифровальщиков.

Северокорейские хакеры и вовсе представляют собой отдельную категорию, так как некоторые из них явно уполномочены государством и устраивают ограбления банков и криптовалютных бирж, чтобы собирать деньги для своей страны, которая давно находится под жесткими экономическими санкциями.

Что касается Китая, подобное поведение и ранее наблюдалось у некоторых хак-групп из Поднебесной. Например, в отчете FireEye рассказывается об APT41 (она же Double Dragon), чья тактика во многом схожа с Earth Lusca.

Trend Micro сообщает, что в своих кампаниях участники Earth Lusca в основном используют три метода атак:

• эксплуатация неисправленных уязвимостей на доступных из интернета серверах и веб-приложениях (к примеру, Oracle GlassFish и Microsoft Exchange);
• адресные фишинговые письма, которые содержат ссылки на вредоносные файлы или сайты;
• атаки типа watering hole, когда жертв заманивают на заранее скомпрометированные сайты, и там пытаются заразить их вредоносным ПО.

В большинстве случаев злоумышленники стремились развернуть Cobalt Strike на зараженных хостах, а пейлоды, используемые в ходе второй фазы атаки, включают бэкдоры Doraemon, ShadowPad, Winnti и FunnySwitch, а также веб-шеллы AntSword и Behinder.

Также исследователи отметили, что группировка нередко разворачивает на зараженных хостах малварь для майнинга. Хотя остается неясным, делается это ради добычи криптовалюты или это способ отвлечь внимание ИТ-специалистов компании-жертвы, которые могут поверить, что взлом был связан с обычным ботнетом для майнинга, а не со сложной шпионской операцией.