Η κινεζική ομάδα «Earth Lamia» στοχεύει πολλαπλές βιομηχανίες
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η κινεζική ομάδα «Earth Lamia» στοχεύει πολλαπλές βιομηχανίες
https://www.secnews.gr/649770/kineziki-omada-earth-lamia-stoevei-pollaples-viomixanies/
May 30th 2025, 15:21
by Absenta Mia
Μία κινεζική ομάδα (Earth Lamia), στοχεύει γνωστά ευάλωτα σημεία σε διαδικτυακές εφαρμογές με σκοπό την παραβίαση οργανισμών σε διάφορους τομείς παγκοσμίως, σύμφωνα με αναφορά της Trend Micro.
Δείτε επίσης: Η Τσεχία κατηγορεί Κινέζους hackers για επίθεση στο Υπουργείο Εξωτερικών
Η ομάδα κυβερνοεπιθέσεων, γνωστή ως Earth Lamia και ενεργή τουλάχιστον από το 2023, έχει επιτεθεί στους τομείς των χρηματοοικονομικών, της κυβέρνησης, της πληροφορικής, των logistics, του λιανικού εμπορίου και της εκπαίδευσης, εστιάζοντας κάθε φορά σε συγκεκριμένες βιομηχανίες κατά περιόδους.
Είναι ιδιαίτερα δραστήριοι και έχουν εντοπιστεί να εκμεταλλεύονται γνωστά κενά ασφαλείας σε διαδικτυακές υποδομές, με κύρια μέθοδο τις επιθέσεις SQL injection σε web εφαρμογές.
Μετά την αρχική πρόσβαση, η ομάδα Earth Lamia παρατηρήθηκε να εγκαθιστά επιπλέον εργαλεία, να αναπτύσσει webshells, να αυξάνει τα προνόμια πρόσβασης, να δημιουργεί λογαριασμούς διαχειριστή, να εξάγει διαπιστευτήρια, να σαρώνει το δίκτυο, να δημιουργεί διαύλους proxy, να εκτελεί backdoors και να διασφαλίζει τη διατήρηση της παρουσίας της στο σύστημα.
Δείτε ακόμα: Κινέζοι hackers χρησιμοποιούν ευπάθεια του Trimble Cityworks
Επιπλέον, οι επιθέσεις αξιοποιούν ευπάθειες τύπου SQL injection για τη δημιουργία ενός νέου λογαριασμού 'sysadmin123' σε στοχευμένους SQL servers, αποκτώντας δικαιώματα διαχειριστή και άμεση πρόσβαση στα δεδομένα του θύματος για την κλοπή τους.
Ο φορέας απειλής χρησιμοποιεί νόμιμα εργαλεία, το BypassBoss (τροποποιημένη έκδοση εργαλείου που αρχικά κοινοποιήθηκε σε κινεζικά φόρουμ), εργαλεία ανοικτού κώδικα και ειδικά φορτωτές (loaders) για την παράκαμψη ασφαλείας και τη φόρτωση κακόβουλων DLL σε εφαρμογές ασφαλείας, ώστε να εκτελέσει shellcode από τα εργαλεία Cobalt Strike και Brute Ratel.
Η ομάδα έχει επίσης αναπτύξει ένα modular backdoor σε .NET με την ονομασία Pulsepack, το οποίο μπορεί να φορτώνει πρόσθετα (plugins) από τον διακομιστή εντολών και ελέγχου (C&C) όταν απαιτείται. Το βασικό εκτελέσιμο μπορεί να επικοινωνεί μόνο με το C&C, αλλά κάθε plugin επεκτείνει τις δυνατότητές του.
Η ομάδα Earth Lamia στοχεύει οργανισμούς στη Βραζιλία, την Ινδία και τη Νοτιοανατολική Ασία από το 2023. Παρόλο που οι επιθετικές της δραστηριότητες έχουν αναφερθεί σε προηγούμενες αναφορές ασφάλειας, η Trend Micro εκτιμά ότι πρόκειται για μία αυτόνομη ομάδα με σύνδεση με την Κίνα.
Δείτε επίσης: Κινέζοι χάκερ στοχεύουν Σαουδική οργάνωση με το MarsSnake Backdoor
Βάσει των παραπάνω, είναι ξεκάθαρο ότι η ομάδα Earth Lamia αποτελεί μια προηγμένη και οργανωμένη απειλή (APT – Advanced Persistent Threat), η οποία συνδυάζει τεχνική εξειδίκευση με στοχευμένες επιχειρήσεις κατασκοπείας ή κλοπής δεδομένων. Το γεγονός ότι χρησιμοποιεί τόσο νόμιμα εργαλεία όσο και εξειδικευμένο κακόβουλο λογισμικό – όπως το Pulsepack ή το Cobalt Strike – δείχνει ότι διαθέτει πόρους και γνώσεις που συνήθως σχετίζονται με κρατικά υποστηριζόμενους φορείς.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η κινεζική ομάδα «Earth Lamia» στοχεύει πολλαπλές βιομηχανίες
https://www.secnews.gr/649770/kineziki-omada-earth-lamia-stoevei-pollaples-viomixanies/
May 30th 2025, 15:21
by Absenta Mia
Μία κινεζική ομάδα (Earth Lamia), στοχεύει γνωστά ευάλωτα σημεία σε διαδικτυακές εφαρμογές με σκοπό την παραβίαση οργανισμών σε διάφορους τομείς παγκοσμίως, σύμφωνα με αναφορά της Trend Micro.
Δείτε επίσης: Η Τσεχία κατηγορεί Κινέζους hackers για επίθεση στο Υπουργείο Εξωτερικών
Η ομάδα κυβερνοεπιθέσεων, γνωστή ως Earth Lamia και ενεργή τουλάχιστον από το 2023, έχει επιτεθεί στους τομείς των χρηματοοικονομικών, της κυβέρνησης, της πληροφορικής, των logistics, του λιανικού εμπορίου και της εκπαίδευσης, εστιάζοντας κάθε φορά σε συγκεκριμένες βιομηχανίες κατά περιόδους.
Είναι ιδιαίτερα δραστήριοι και έχουν εντοπιστεί να εκμεταλλεύονται γνωστά κενά ασφαλείας σε διαδικτυακές υποδομές, με κύρια μέθοδο τις επιθέσεις SQL injection σε web εφαρμογές.
Μετά την αρχική πρόσβαση, η ομάδα Earth Lamia παρατηρήθηκε να εγκαθιστά επιπλέον εργαλεία, να αναπτύσσει webshells, να αυξάνει τα προνόμια πρόσβασης, να δημιουργεί λογαριασμούς διαχειριστή, να εξάγει διαπιστευτήρια, να σαρώνει το δίκτυο, να δημιουργεί διαύλους proxy, να εκτελεί backdoors και να διασφαλίζει τη διατήρηση της παρουσίας της στο σύστημα.
Δείτε ακόμα: Κινέζοι hackers χρησιμοποιούν ευπάθεια του Trimble Cityworks
Επιπλέον, οι επιθέσεις αξιοποιούν ευπάθειες τύπου SQL injection για τη δημιουργία ενός νέου λογαριασμού 'sysadmin123' σε στοχευμένους SQL servers, αποκτώντας δικαιώματα διαχειριστή και άμεση πρόσβαση στα δεδομένα του θύματος για την κλοπή τους.
Ο φορέας απειλής χρησιμοποιεί νόμιμα εργαλεία, το BypassBoss (τροποποιημένη έκδοση εργαλείου που αρχικά κοινοποιήθηκε σε κινεζικά φόρουμ), εργαλεία ανοικτού κώδικα και ειδικά φορτωτές (loaders) για την παράκαμψη ασφαλείας και τη φόρτωση κακόβουλων DLL σε εφαρμογές ασφαλείας, ώστε να εκτελέσει shellcode από τα εργαλεία Cobalt Strike και Brute Ratel.
Η ομάδα έχει επίσης αναπτύξει ένα modular backdoor σε .NET με την ονομασία Pulsepack, το οποίο μπορεί να φορτώνει πρόσθετα (plugins) από τον διακομιστή εντολών και ελέγχου (C&C) όταν απαιτείται. Το βασικό εκτελέσιμο μπορεί να επικοινωνεί μόνο με το C&C, αλλά κάθε plugin επεκτείνει τις δυνατότητές του.
Η ομάδα Earth Lamia στοχεύει οργανισμούς στη Βραζιλία, την Ινδία και τη Νοτιοανατολική Ασία από το 2023. Παρόλο που οι επιθετικές της δραστηριότητες έχουν αναφερθεί σε προηγούμενες αναφορές ασφάλειας, η Trend Micro εκτιμά ότι πρόκειται για μία αυτόνομη ομάδα με σύνδεση με την Κίνα.
Δείτε επίσης: Κινέζοι χάκερ στοχεύουν Σαουδική οργάνωση με το MarsSnake Backdoor
Βάσει των παραπάνω, είναι ξεκάθαρο ότι η ομάδα Earth Lamia αποτελεί μια προηγμένη και οργανωμένη απειλή (APT – Advanced Persistent Threat), η οποία συνδυάζει τεχνική εξειδίκευση με στοχευμένες επιχειρήσεις κατασκοπείας ή κλοπής δεδομένων. Το γεγονός ότι χρησιμοποιεί τόσο νόμιμα εργαλεία όσο και εξειδικευμένο κακόβουλο λογισμικό – όπως το Pulsepack ή το Cobalt Strike – δείχνει ότι διαθέτει πόρους και γνώσεις που συνήθως σχετίζονται με κρατικά υποστηριζόμενους φορείς.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz