Earth Lusca Hackers vise des cibles de grande valeur dans les secteurs public et privé

Tierra Lusca Des nouvelles

Un acteur menaçant insaisissable appelé Terre Lusca a été observé frappant des organisations à travers le monde dans le cadre de ce qui semble être à la fois une campagne d’espionnage et une tentative de récolter des profits monétaires.

« La liste de ses victimes comprend des cibles de grande valeur telles que le gouvernement et les établissements d’enseignement, les mouvements religieux, les organisations pro-démocratie et de défense des droits de l’homme à Hong Kong, les organisations de recherche sur le COVID-19 et les médias, entre autres », ont déclaré les chercheurs de Trend Micro. mentionné dans un nouveau rapport. « Cependant, l’acteur menaçant semble également avoir des motivations financières, car il visait également des sociétés de jeux d’argent et de crypto-monnaie.

La société de cybersécurité a attribué le groupe comme faisant partie du plus grand groupe basé en Chine Grappe Winnti, qui fait référence à un certain nombre de groupes liés plutôt qu’à une seule entité distincte qui se concentre sur la collecte de renseignements et le vol de propriété intellectuelle.

Terre Lusca

Les voies d’intrusion de Earth Lusca sont facilitées par des attaques de harponnage et de point d’eau, tout en exploitant les vulnérabilités des applications publiques, telles que Microsoft Exchange ProxyShell et Oracle. Exploits du serveur GlassFish, comme vecteur d’attaque.

Les chaînes d’infection conduisent au déploiement de Cobalt Strike, aux côtés d’une variété de logiciels malveillants supplémentaires tels que Doraemon, ShadowPad, Winnti, FunnySwitch et des shells Web comme AntSword et Behinder.

Terre Lusca

Cobalt Strike est une suite d’intrusion complète qui est à l’origine un outil d’accès à distance légitime, développé pour les équipes rouges à utiliser dans les tests d’intrusion. Cependant, ces dernières années, il est devenu l’un des outils préférés de l’arsenal d’un acteur menaçant et le principal moyen de transformer une prise de pied en une intrusion pratique.

Fait intéressant, alors que les attaques impliquent également l’installation de mineurs de crypto-monnaie sur des hôtes infectés, les chercheurs ont souligné que « les revenus tirés des activités minières semblent faibles ».

Les données de télémétrie recueillies par Trend Micro révèlent que Earth Lusca a organisé des attaques contre des entités qui pourraient présenter un intérêt stratégique pour le gouvernement chinois, notamment –

  • Sociétés de jeux en Chine continentale
  • Institutions gouvernementales à Taïwan, en Thaïlande, aux Philippines, au Vietnam, aux Émirats arabes unis, en Mongolie et au Nigeria
  • Établissements d’enseignement à Taïwan, à Hong Kong, au Japon et en France
  • Médias d’information à Taïwan, Hong Kong, Australie, Allemagne et France
  • Organisations et mouvements politiques en faveur de la démocratie et des droits de l’homme à Hong Kong
  • Organisations de recherche COVID-19 aux États-Unis
  • Entreprises de télécommunications au Népal
  • Les mouvements religieux interdits en Chine continentale, et
  • Diverses plateformes de trading de crypto-monnaie

« Les preuves indiquent que Earth Lusca est un acteur hautement qualifié et dangereux, principalement motivé par le cyberespionnage et le gain financier. Cependant, le groupe s’appuie toujours principalement sur des techniques éprouvées pour piéger une cible », ont déclaré les chercheurs.

« Bien que cela ait ses avantages (les techniques se sont déjà avérées efficaces), cela signifie également que les meilleures pratiques de sécurité, telles qu’éviter de cliquer sur des liens suspects d’e-mails/de sites Web et de mettre à jour d’importantes applications destinées au public, peuvent minimiser l’impact – ou même arrêtez – une attaque de la Terre Lusca. »

David
Rate author
Hackarizona