Согласно отчету Trend Micro, китайская кибершпионская группировка Earth Lusca не только следит за стратегическими целями, но также занимается финансово мотивированными атаками для получения прибыли.

Исследователи пишут, что последние годы хак-группа шпионила за самыми разными целями, которые могли представлять интерес для китайского правительства, например:

  • государственные учреждения Тайваня, Таиланда, Филиппин, Вьетнама, ОАЭ, Монголии и Нигерии;
  • учебные заведения Тайваня, Гонконга, Японии и Франции;
  • СМИ на Тайване, в Гонконге, Австралии, Германии и Франции;
  • продемократические и правозащитные политические организации и движения в Гонконге;
  • исследовательские организации, изучающие COVID-19 в США;
  • телекоммуникационные компании Непала;
  • религиозные движения, запрещенные в материковом Китае

Интересно, что одновременно с этим группировка успевала атаковать игорные компании в Китае и различные криптовалютные платформы, похищая чужие средства.

Издание The Record отмечает, что хак-группы, практикующие как финансово мотивированные, так и шпионские атаки, в последнее время перестают быть редкостью. Например, хакеры из Ирана взламывают VPN-устройства по всему миру, выбирают важные цели, необходимые им для сбора данных, а «излишки» продают в даркнете, на форумах, которые часто посещают операторы шифровальщиков.

Северокорейские хакеры и вовсе представляют собой отдельную категорию, так как некоторые из них явно уполномочены государством и устраивают ограбления банков и криптовалютных бирж, чтобы собирать деньги для своей страны, которая давно находится под жесткими экономическими санкциями.

Что касается Китая, подобное поведение и ранее наблюдалось у некоторых хак-групп из Поднебесной. Например, в отчете FireEye рассказывается об APT41 (она же Double Dragon), чья тактика во многом схожа с Earth Lusca.

Trend Micro сообщает, что в своих кампаниях участники Earth Lusca в основном используют три метода атак:

  • эксплуатация неисправленных уязвимостей на доступных из интернета серверах и веб-приложениях (к примеру, Oracle GlassFish и Microsoft Exchange);
  • адресные фишинговые письма, которые содержат ссылки на вредоносные файлы или сайты;
  • атаки типа watering hole, когда жертв заманивают на заранее скомпрометированные сайты, и там пытаются заразить их вредоносным ПО.

В большинстве случаев злоумышленники стремились развернуть Cobalt Strike на зараженных хостах, а пейлоды, используемые в ходе второй фазы атаки, включают бэкдоры Doraemon, ShadowPad, Winnti и FunnySwitch, а также веб-шеллы AntSword и Behinder.

Также исследователи отметили, что группировка нередко разворачивает на зараженных хостах малварь для майнинга. Хотя остается неясным, делается это ради добычи криптовалюты или это способ отвлечь внимание ИТ-специалистов компании-жертвы, которые могут поверить, что взлом был связан с обычным ботнетом для майнинга, а не со сложной шпионской операцией.

Источник: xakep