Une campagne de piratage sophistiquée attribuée à un groupe chinois de menaces persistantes avancées (APT) connu sous le nom de « Earth Krahang » a violé 70 organisations et ciblé au moins 116 dans 45 pays.

Selon les chercheurs de Trend Micro qui surveillent l’activité, la campagne est en cours depuis début 2022 et se concentre principalement sur les organisations gouvernementales.

Plus précisément, les pirates ont compromis 48 organisations gouvernementales, dont 10 sont des ministères des Affaires étrangères, et ont ciblé 49 autres agences gouvernementales.

Carte des victimes (rouge) et des cibles (jaune)

Les attaquants exploitent des serveurs vulnérables connectés à Internet et utilisent des courriels de harponnage pour déployer des portes dérobées personnalisées à des fins de cyberespionnage.

Earth Krahang abuse de sa présence sur l’infrastructure gouvernementale violée pour attaquer d’autres gouvernements, construit des serveurs VPN sur des systèmes compromis et effectue un forçage brutal pour déchiffrer les mots de passe des comptes de messagerie précieux.

Aperçu de l’attaque
Les auteurs de la menace utilisent des outils open source pour analyser les serveurs publics à la recherche de vulnérabilités spécifiques, telles que CVE-2023-32315 (Openfire) et CVE-2022-21587 (Panneau de configuration Web).

En exploitant ces failles, ils déploient des webshells pour obtenir un accès non autorisé et établir une persistance au sein des réseaux des victimes.

Alternativement, ils utilisent le spear-phishing comme vecteur d’accès initial, les messages ayant pour thème des sujets géopolitiques pour inciter les destinataires à ouvrir les pièces jointes ou à cliquer sur les liens.

Une fois à l’intérieur du réseau, Earth Krahang utilise l’infrastructure compromise pour héberger des charges utiles malveillantes, attaquer le trafic par proxy et utiliser des comptes de messagerie gouvernementaux piratés pour cibler ses collègues ou d’autres gouvernements avec des courriels de harponnage.

« Nous avons remarqué que Earth Krahang récupère des centaines d’adresses e-mail de leurs cibles pendant la phase de reconnaissance », lit-on dans le rapport de Trend Micro.

« Dans un cas, l’acteur a utilisé une boîte aux lettres compromise d’une entité gouvernementale pour envoyer une pièce jointe malveillante à 796 adresses électroniques appartenant à la même entité. »

Script utilisé pour envoyer des courriels à partir du compte compromis (expurgé)

Ces courriels contiennent des pièces jointes malveillantes qui déposent des portes dérobées sur les ordinateurs des victimes, propageant l’infection et assurant la redondance en cas de détection et de nettoyage.

Trend Micro affirme que les attaquants utilisent des comptes Outlook compromis pour forcer brutalement les informations d’identification d’échange, tandis que des scripts Python spécialisés dans l’exfiltration des e-mails des serveurs Zimbra ont également été repérés.

Script Python pour collecter des données de messagerie

Le groupe de menaces construit également des serveurs VPN sur des serveurs publics compromis en utilisant SoftEtherVPN pour établir l’accès aux réseaux privés de leurs victimes et renforcer leur capacité à se déplacer latéralement au sein de ces réseaux.

Après avoir établi leur présence sur le réseau, chaque Krahang déploie des logiciels malveillants et des outils tels que Cobalt Strike, RESHELL et XDealer, qui fournissent des capacités d’exécution de commandes et de collecte de données.

Dealer est la plus sophistiquée et la plus complexe des deux portes dérobées car elle prend en charge Linux et Windows et peut prendre des captures d’écran, enregistrer les frappes au clavier et intercepter les données du presse-papiers.

Vue d’ensemble de la chaîne d’attaque

Attribution
Trend Micro dit avoir initialement trouvé des liens entre Earth Kraang et l’acteur du nexus chine Earth Lusca, sur la base de chevauchements de commandement et de contrôle (C2), mais a déterminé qu’il s’agissait d’un cluster distinct.

Il est possible que les deux groupes de menaces opèrent sous la société chinoise I-Soon, travaillant en tant que groupe de travail dédié au cyberespionnage sur les entités gouvernementales.

En outre, RESHELL a déjà été associé au groupe « Gallium » et au revendeur X avec les pirates informatiques « Luoyu ». Cependant, l’analyse de Trend Micro montre que ces outils sont probablement partagés entre les acteurs de la menace, chacun utilisant une clé de chiffrement distincte.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *