安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构

一个名为"EarthKrahang"的中国高级持续性威胁（APT）组织发起了一场复杂的黑客攻击活动，入侵了45个国家的70个组织，攻击目标至少116个。根据趋势科技研究人员对该活动的监测，该活动自2022年初开始，主要针对政府组织。

具体来说，黑客已经入侵了48个政府组织，其中10个是外交部门，另外49个政府机构也成为了黑客的攻击目标。

攻击者利用易受攻击的面向互联网的服务器，使用鱼叉式网络钓鱼电子邮件部署定制的网络间谍活动后门。

EarthKrahang滥用其在被攻破的政府基础设施上的存在来攻击其他政府，在被攻破的系统上建立VPN服务器，并执行暴力破解以破解重要电子邮件账户的密码。

攻击概述

威胁行为者利用开源工具扫描面向公众的服务器，查找特定漏洞，如CVE-2023-32315（Openfire）和CVE-2022-21587（OracleWebApps）。

通过利用这些漏洞，他们部署webhell来获取未经授权的访问权限，并在受害者网络中建立持久性。

或者，他们使用鱼叉式网络钓鱼作为初始访问载体，围绕地缘政治主题发送信息，诱使收件人打开附件或点击链接。

一旦进入网络，EarthKrahang就会利用被入侵的基础设施托管恶意有效载荷、代理攻击流量，并使用被黑客入侵的政府电子邮件账户向其同事或其他政府发送鱼叉式网络钓鱼电子邮件。

趋势科技在报告中写道："我们注意到，EarthKrahang在侦察阶段会从目标处获取数百个电子邮件地址。在一个案例中，行为者利用一个政府实体的受损邮箱向属于同一实体的796个电子邮件地址发送恶意附件"。

这些电子邮件包含恶意附件，可将后门植入受害者的计算机，传播感染并在检测和清理时实现冗余。

攻击者使用被入侵的Outlook账户来强行获取Exchange凭据，同时还发现了专门从Zimbra服务器中渗入电子邮件的Python脚本。

该威胁组织还利用SoftEtherVPN在被入侵的面向公众的服务器上建立VPN服务器，以建立对受害者私人网络的访问，并进一步提高他们在这些网络中横向移动的能力。

EathKrahang在网络上建立存在后，会部署CobaltStrike、RESHELL和XDealer等恶意软件和工具，提供命令执行和数据收集功能。

XDealer是这两种后门程序中更复杂、更精密的一种，因为它支持Linux和Windows，可以截屏、记录键盘输入和截取剪贴板数据。

趋势科技称，根据指挥和控制（C2）的重叠，它最初发现EarthKrahang与中国附属行为者EarthLusca之间存在联系，但确定这是一个独立的集群。

这两个威胁组织可能都在中国公司I-Soon旗下运作，作为专门针对政府实体进行网络间谍活动的特遣部队。

此外，RESHELL以前与"Gallium"组织有关，而XDealer则与"Luoyu"黑客有关。然而，趋势科技的洞察力表明，这些工具很可能是威胁行为者之间共享的，每个工具都使用不同的加密密钥。

本次的"EarthKrahang"指标清单在此单独发布。