Los piratas informáticos de Earth Lusca apuntaron a objetivos de alto valor en los sectores público y privado

Tierra Lusca Noticias

Un escurridizo actor de amenazas llamado Tierra Lusca Se ha observado a organizaciones en huelga en todo el mundo como parte de lo que parece ser simultáneamente una campaña de espionaje y un intento de obtener ganancias monetarias.

«La lista de sus víctimas incluye objetivos de alto valor como instituciones gubernamentales y educativas, movimientos religiosos, organizaciones a favor de la democracia y de derechos humanos en Hong Kong, organizaciones de investigación de COVID-19 y los medios de comunicación, entre otros», investigadores de Trend Micro. dicho en un nuevo informe. «Sin embargo, el actor de amenazas también parece estar motivado financieramente, ya que también apuntó a las empresas de apuestas y criptomonedas.

La firma de ciberseguridad atribuyó al grupo como parte de la mayor empresa con sede en China Clúster Winnti, que se refiere a una serie de grupos vinculados en lugar de una sola entidad discreta que se centran en la recopilación de inteligencia y el robo de propiedad intelectual.

Tierra Lusca

Las rutas de intrusión de Earth Lusca se ven facilitadas por los ataques de phishing y abrevadero, al tiempo que aprovechan las vulnerabilidades en las aplicaciones públicas, como Microsoft Exchange ProxyShell y Oracle. Explosiones del servidor GlassFish, como vector de ataque.

Las cadenas de infección conducen al despliegue de Cobalt Strike, junto con una variedad de malware adicional como Doraemon, ShadowPad, Winnti, FunnySwitch y web shells como AntSword y Behinder.

Tierra Lusca

Cobalt Strike es una suite de intrusión con todas las funciones que se originó como una herramienta legítima de acceso remoto, desarrollada para que los equipos rojos la usen en pruebas de penetración. Sin embargo, en los últimos años, se ha convertido en una de las herramientas preferidas en el arsenal de un actor de amenazas y el medio principal para convertir un punto de apoyo en una intrusión práctica.

Curiosamente, si bien los ataques también involucran la instalación de mineros de criptomonedas en hosts infectados, los investigadores señalaron que «los ingresos obtenidos de las actividades mineras parecen bajos».

Los datos de telemetría recopilados por Trend Micro revelan que Earth Lusca realizó ataques contra entidades que podrían ser de interés estratégico para el gobierno chino, entre ellas:

  • Empresas de juego en China continental
  • Instituciones gubernamentales en Taiwán, Tailandia, Filipinas, Vietnam, Emiratos Árabes Unidos, Mongolia y Nigeria
  • Instituciones educativas en Taiwán, Hong Kong, Japón y Francia
  • Medios de comunicación en Taiwán, Hong Kong, Australia, Alemania y Francia
  • Organizaciones y movimientos políticos a favor de la democracia y los derechos humanos en Hong Kong
  • Organizaciones de investigación de COVID-19 en los EE. UU.
  • Empresas de telecomunicaciones en Nepal
  • Movimientos religiosos que están prohibidos en China continental, y
  • Varias plataformas de comercio de criptomonedas

«La evidencia apunta a que Earth Lusca es un actor de amenazas altamente calificado y peligroso motivado principalmente por el ciberespionaje y la ganancia financiera. Sin embargo, el grupo todavía se basa principalmente en técnicas probadas y verdaderas para atrapar a un objetivo», dijeron los investigadores.

«Si bien esto tiene sus ventajas (las técnicas ya han demostrado ser efectivas), también significa que las mejores prácticas de seguridad, como evitar hacer clic en enlaces de correo electrónico/sitio web sospechosos y actualizar aplicaciones públicas importantes, pueden minimizar el impacto, o incluso alto: un ataque de Earth Lusca».

David
Rate author
Hackarizona