Trend Research’teki siber güvenlik araştırmacıları, 2023’ten beri Brezilya, Hindistan ve Güneydoğu Asya’daki organizasyonları hedefleyen bir Çin-Nexus ile ileri süren bir tehdit (APT) grubu olan Earth Lamia’nın agresif operasyonlarını ortaya çıkardılar.
Bu tehdit oyuncusu, SQL sunucularına sızmak ve kamuya dönük sistemlerde bilinen kusurlardan yararlanmak için web uygulamalarındaki SQL enjeksiyon güvenlik açıklarından yararlanarak siber müdahalelere siber müdahalelere sofistike bir yaklaşım göstermiştir.
Brezilya, Hindistan ve Güneydoğu Asya’da artan bir tehdit
Hedefleri zamanla gelişti, başlangıçta 2024’ün başlarında, yılın ikinci yarısında lojistiğe ve çevrimiçi perakende satışa geçmeden önce finansal hizmetlere, özellikle menkul kıymetlere ve aracılık firmalarına odaklandı.
.png
)
En son, Earth Lamia, BT şirketleri, üniversiteler ve devlet kuruluşları üzerine manzaralarını belirledi ve çeşitli endüstriler için önemli bir risk oluşturan stratejik bir uyarlanabilirlik sergiledi.
Earth Lamia’nın teknik gücü, geleneksel güvenlik yazılımı tarafından tespitten kaçınmak için hack araçlarını geliştirme ve özelleştirme yeteneğinde yatmaktadır.
Bunlar arasında, ilk olarak Ağustos 2024’te Mart 2025’te ortaya çıkan yükseltilmiş WebSocket tabanlı bir sürüm ve açık kaynak kodundan türetilen değiştirilmiş bir ayrıcalık yükseltme aracı olan BypassBoss ile görülen modüler bir .NET arka kapı olan PulsePack bulunmaktadır.
Grup ayrıca, bellekte kötü amaçlı yükleri yürütmek için Microsoft’un Appliunch.exe gibi meşru ikili dosyaları kullanarak, genellikle bellek tarayıcılarını atlamak için voidmaw ile paketleme araçlarını kullanarak DLL sideloading gibi taktikler kullanır.
CVE-2017-9805 (Apache Struts2), CVE-2021-22205 (GITLAB) ve son CVE-2025-31324 (SAP NetWeaver Visual Bester) dahil olmak üzere güvenlik açıklarından yararlanmaları, kalmamış sistemlere odaklanmalarını vurgulamaktadır.
Özelleştirilmiş Araçlar
Sıkıştırma sonrası, web kabuklarını konuşlandırarak, Godpotato gibi araçlarla ayrıcalıkları artarak ve kobalt grevi ve brute ratel gibi backdrools aracılığıyla verileri pes ettirerek ağlar içinde yanal hareketle uğraşırlar.
Trend Micro’ya göre, SQL sunucularında “Sysadmin123” gibi yetkisiz hesaplar oluşturmak için komut kullanımı, veri hırsızlığı tehdidini daha da güçlendiriyor.
43.247.135.53 ve 103.30.76.206 gibi IP adresleri de dahil olmak üzere Earth Lamia’nın altyapısı, REF0657 ve STAC6451 gibi diğer saldırı setlerine bağlantılarla komut ve kontrol (C&C) operasyonlarına bağlanmıştır.
Mimic fidye yazılımı ve Dragonrank gibi kampanyalarla örtüşmeler gözlemlenirken, araştırmacılar, fidye yazılımı dağıtımından ziyade casusluk ve veri açığa çıkmasına odaklanan Earth Lamia’nın farklı bir varlık olarak çalıştığını savunuyorlar.
Trend Vision One, bu gelişen tehdide karşı koymak için avlanma sorguları ve istihbarat raporları sağlayarak, ilişkili uzlaşma göstergelerini (IOCS) tespit etmede ve engellemede çok önemlidir.
Dünya Lamia cephaneliği ve hedef seçimini geliştirmeye devam ettikçe, kuruluşlar bu titizlikle hazırlanmış saldırılara mağdur olma riskini azaltmak için sistem yaması, sağlam izleme ve proaktif güvenlik çözümlerine öncelik vermelidir.
Küresel siber güvenlik topluluğu, bu APT grubunun operasyonları yavaşlama belirtisi göstermediğinden, bu tür kalıcı ve teknik olarak usta rakiplere karşı güçlendirilmiş savunmalara duyulan acil ihtiyacı vurguladığı için yüksek alarma devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!