Earth Krahang adlı yeni bir Gelişmiş Kalıcı Tehdit (APT) kampanyası, dünya genelindeki hükümet kurumlarına sızmaya odaklanarak ortaya çıktı.
2022'nin başlarından bu yana aktif olan bu kampanya, daha önce Earth Lusca olarak tanımlanan, Çin bağlantılı bir tehdit aktörüyle bağlantılıydı. Benzerliklere rağmen, Earth Krahang farklı bir altyapıyla çalışıyor ve benzersiz arka kapılar kullanıyor, bu da onun ayrı bir varlık olduğunu gösteriyor.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Bu rapor, Earth Krahang'ın taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) derinlemesine inceleyerek operasyonlarına ve bunların küresel siber güvenlik açısından sonuçlarına ışık tutuyor.
Taktikler ve Teknikler
Earth Krahang'ın çalışma yöntemi, halka açık sunuculardaki güvenlik açıklarından yararlanmayı ve yeni arka kapılar sunmak için hedef odaklı kimlik avı e-postalarından yararlanmayı içeriyor.
Kampanya, daha fazla saldırı başlatmak için hükümet altyapısına el koyma, bu erişimi kötü amaçlı yükleri barındırmak ve siber casusluğu kolaylaştırmak için kullanma yönünde bir eğilim gösterdi.
Earth Krahang'ın yetkisiz erişim elde etmek ve kötü amaçlı yazılım dağıtmak için CVE-2023-32315 ve CVE-2022-21587 gibi güvenlik açıklarından yararlandığı dikkat çekiyor.
Hedef odaklı kimlik avı, Earth Krahang için kritik bir vektör olmaya devam ediyor. Hedefleri kötü amaçlı dosyaları çalıştırmaya ikna etmek için hazırlanan e-postalar genellikle jeopolitik temalar kullanılarak hazırlanır ve bu da yemlerin stratejik bir seçimini gösterir.
Earth Krahang, web üzerinde Outlook aracılığıyla Exchange sunucularına kaba kuvvet saldırıları gerçekleştiriyor, web sunucusundaki güvenlik açıklarını bulmak için güvenlik açığı taraması yapıyor ve arka kapılar enjekte ediyor.
Trend Micro raporuna göre, kimlik avı girişimlerinin erişimini en üst düzeye çıkarmak için hedeflenen kuruluşlardan gelen e-posta adreslerinin kapsamlı bir şekilde toplanmasıyla kampanyanın keşif çalışmaları kapsamlıdır.
Sömürü ve Sömürü Sonrası
İlk erişim elde edildikten sonra Earth Krahang, varlığını sürdürmek ve güvenliği ihlal edilmiş ağlardan yararlanmak için çeşitli araçlar ve teknikler kullanır.
SoftEther VPN'in halka açık sunucularda kullanılması, tehdit aktörünün kurban ağlarına derinlemesine sızmasını sağlayan dikkate değer bir taktiktir. Kullanım sonrası faaliyetler arasında uzak masaüstü bağlantılarının etkinleştirilmesi, kimlik bilgilerinin boşaltılması ve hassas bilgilere erişim için ağlar içinde yanal hareketler yer alır.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux'ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'u ÜCRETSİZ deneyin
Kötü amaçlı yazılım Arsenal'i
Earth Krahang'ın araç seti, Cobalt Strike, RESHELL ve XDealer'ın öne çıktığı çeşitli kötü amaçlı yazılım ailelerini içeriyor. Basit bir .NET arka kapısı olan RESHELL ve hem Windows hem de Linux sürümlerine sahip daha karmaşık bir arka kapı olan XDealer, kampanyanın hedef sistemlerdeki ilk tutunma noktasının anahtarıdır.
XDealer'ın, belirlenen çeşitli sürümlerle kanıtlanan evrimi, tehdit aktörünün aktif geliştirme ve özelleştirmesine işaret ediyor.
Mağduriyet ve Atıf
Kampanya, öncelikli olarak devlet kurumlarına odaklanarak 23 ülkede yaklaşık 70 mağduru hedef aldı. Hedeflerin geniş coğrafi dağılımı, Earth Krahang'ın küresel hedeflerinin altını çiziyor.
Doğrudan ilişkilendirme zor olsa da, Çin bağlantılı tehdit aktörü Earth Lusca ile bağlantılar ve Çinli I-Soon şirketi ile olası bağlantılar, muhtemelen devlet destekli aktörler tarafından desteklenen koordineli bir çabaya işaret ediyor.
Earth Krahang, açıkça devlet kurumlarına ve hükümet altyapısının siber casusluk amacıyla kullanılmasına odaklanan karmaşık ve kalıcı bir siber tehdidi temsil ediyor. Kampanyanın benzersiz kötü amaçlı yazılım aileleri ve taktikleri, güçlü siber güvenlik savunmalarına ve farkındalığına duyulan ihtiyacı vurguluyor.
Kuruluşların, özellikle de devlet sektörlerindekilerin, düzenli yazılım güncellemeleri, sosyal mühendislik saldırıları konusunda çalışanların eğitimi ve uzlaşma riskini azaltmak için çok faktörlü kimlik doğrulamanın uygulanması da dahil olmak üzere sıkı güvenlik önlemleri almaları tavsiye ediliyor.
Earth Krahang'ın gelişen taktikleri ve araçları, hassas bilgileri ve altyapıyı bu gelişmiş tehditlerden korumak için siber güvenlik stratejilerinde sürekli dikkat ve adaptasyonu gerektirir.
Sistemlerinizi güncel tutmak için Uzlaşma göstergelerinin tamamını burada bulabilirsiniz.
Bir kursa kaydolarak karmaşık kötü amaçlı yazılımları parçalamak için kötü amaçlı yazılım analizini öğrenebilirsiniz. Sertifikalı Kötü Amaçlı Yazılım Analisti Kurs çevrimiçi.