Một kẻ đe dọa khó nắm bắt được gọi là Earth Lusca đã được quan sát thấy các tổ chức tấn công khắp thế giới như một phần của những gì dường như đồng thời là một chiến dịch gián điệp và một nỗ lực thu lợi nhuận.
“Danh sách các nạn nhân của nó bao gồm các mục tiêu có giá trị cao như chính phủ và các tổ chức giáo dục, các phong trào tôn giáo, các tổ chức ủng hộ dân chủ và nhân quyền ở Hồng Kông, các tổ chức nghiên cứu COVID-19 và các phương tiện truyền thông, trong số những người khác”, các nhà nghiên cứu của Trend Micro cho biết trong một báo cáo mới. “Tuy nhiên, kẻ đe dọa dường như cũng có động cơ tài chính, vì nó cũng nhắm vào các công ty cờ bạc và tiền điện tử.
Công ty an ninh mạng cho rằng nhóm này là một phần của cụm Winnti có trụ sở tại Trung Quốc, đề cập đến một số nhóm được liên kết chứ không phải là một thực thể rời rạc tập trung vào việc thu thập thông tin tình báo và đánh cắp tài sản trí tuệ.
Các tuyến đường xâm nhập của Earth Lusca được tạo điều kiện thuận lợi bằng các cuộc tấn công lừa đảo trực tuyến và lỗ hổng bảo mật, đồng thời tận dụng các lỗ hổng trong các ứng dụng công khai, chẳng hạn như việc khai thác Microsoft Exchange ProxyShell và Oracle GlassFish Server, làm véc tơ tấn công.
Các chuỗi lây nhiễm dẫn đến việc triển khai Cobalt Strike, cùng với một loạt phần mềm độc hại bổ sung như Doraemon, ShadowPad, Winnti, FunnySwitch và web shell như AntSword và Behinder.
Cobalt Strike là một bộ xâm nhập đầy đủ tính năng có nguồn gốc là một công cụ truy cập từ xa hợp pháp, được phát triển cho các đội đỏ sử dụng trong thử nghiệm thâm nhập. Tuy nhiên, trong những năm gần đây, nó đã trở thành một trong những công cụ ưa thích trong kho vũ khí của kẻ đe dọa và là phương tiện chính để biến chỗ đứng thành một cuộc xâm nhập thực hành.
Điều thú vị là trong khi các cuộc tấn công cũng liên quan đến việc cài đặt các công cụ khai thác tiền điện tử trên các máy chủ bị nhiễm, các nhà nghiên cứu chỉ ra rằng “doanh thu kiếm được từ các hoạt động khai thác có vẻ thấp”.
Dữ liệu đo từ xa do Trend Micro thu thập tiết lộ rằng Earth Lusca đã tổ chức các cuộc tấn công chống lại các thực thể có thể có lợi ích chiến lược đối với chính phủ Trung Quốc, bao gồm –
Các công ty cờ bạc ở Trung Quốc Đại lục Các tổ chức chính phủ ở Đài Loan, Thái Lan, Philippines, Việt Nam, Các Tiểu vương quốc Ả Rập Thống nhất, Mông Cổ và Nigeria Các cơ sở giáo dục ở Đài Loan, Hồng Kông, Nhật Bản và Pháp Truyền thông tin tức ở Đài Loan, Hồng Kông, Úc, Đức và Pháp Các tổ chức chính trị ủng hộ dân chủ và nhân quyền và các phong trào ở Hồng Kông Các tổ chức nghiên cứu COVID-19 ở Hoa Kỳ Các công ty viễn thông ở Nepal Các phong trào tôn giáo bị cấm ở Trung Quốc Đại lục và các nền tảng giao dịch tiền điện tử khác nhau
Các nhà nghiên cứu cho biết: “Bằng chứng chỉ ra rằng Earth Lusca là một kẻ đe dọa có kỹ năng cao và nguy hiểm, chủ yếu được thúc đẩy bởi hoạt động gián điệp mạng và thu lợi tài chính. Tuy nhiên, nhóm này vẫn chủ yếu dựa vào các kỹ thuật đã được thử nghiệm để bắt giữ một mục tiêu”.
“Mặc dù điều này có lợi thế của nó (các kỹ thuật đã được chứng minh là có hiệu quả), nó cũng có nghĩa là các phương pháp bảo mật tốt nhất, chẳng hạn như tránh nhấp vào các liên kết email / trang web đáng ngờ và cập nhật các ứng dụng quan trọng đối với công chúng, có thể giảm thiểu tác động – hoặc thậm chí dừng lại – một cuộc tấn công của Earth Lusca. “
.
