Kineski hakeri koriste poznate ranjivosti u veb aplikacijama kako bi kompromitovali organizacije u različitim sektorima širom svijeta, navodi Trend Micro.
Aktivna najranije od 2023. godine, a praćena pod nazivom Earth Lamia, ova hakerska grupa cilja finansijski, vladin, IT, logistički, maloprodajni i obrazovni sektor, iako se u različitim vremenskim periodima fokusira na određene industrije.
Ova grupa je vrlo aktivna, a primijećena je kako eksploatiše poznate bezbjednosne propuste na javno dostupnim sistemima, s posebnim naglaskom na ranjivosti povezane sa SQL injekcijom u veb aplikacijama.
Iskorišćeni propusti uključuju: CVE-2017-9805 (Apache Struts), CVE-2021-22205 (GitLab), CVE-2024-9047 (WordPress), CVE-2024-27198 i CVE-2024-27199 (TeamCity), CVE-2024-51378 i CVE-2024-51567 (CyberPanel), CVE-2024-56145 (Craft CMS), kao i najnoviji CVE-2025-31324 (SAP NetWeaver).
Nakon inicijalnog pristupa, Earth Lamia je viđena kako preuzima dodatne alate, implementira veb školjke (webshells), eskalira privilegije, kreira administratorske naloge, izvlači akreditive, skenira mrežu, postavlja proksi tunele, izvršava backdoor alate i ostvaruje upornost u sistemima.
Takođe, napadi koriste SQL injekcije kako bi kreirali novi nalog ‘sysadmin123’ na kompromitovanim SQL serverima, čime dobijaju administratorske privilegije za direktan pristup i krađu podataka žrtava.
Grupa koristi legitimne alate, BypassBoss (modifikovana verzija alata prvobitno podijeljena na kineskim forumima), open source alate, kao i prilagođene učitavače (loaders) za učitavanje malicioznih DLL-ova u bezbjednosne aplikacije, kako bi pokrenuli Cobalt Strike i Brute Ratel shellcode.
Grupa je implementirala modularni .NET backdoor nazvan Pulsepack, koji može učitavati dodatke (pluginove) sa komandno-kontrolnog (C&C) servera po potrebi. Glavni izvršni fajl može komunicirati samo sa C&C serverom, ali svaki dodatak širi njegove mogućnosti.
Earth Lamia cilja organizacije u Brazilu, Indiji i jugoistočnoj Aziji od 2023. godine. Iako su njihove agresivne operacije ranije pominjane u bezbjednosnim izvještajima, Trend Micro vjeruje da se radi o grupi sa direktnom vezom sa Kinom.
Bezbjednosna kompanija identifikovala je povezanost sa REF0657, koji je ciljao finansijske servise u Južnoj Aziji u januaru 2024. godine, kao i sa kampanjom STAC6451 koja je koristila Mimic ransomware, iako Earth Lamia nije viđena kako koristi ransomware.
Grupa se takođe dovodi u vezu sa špijunskom kampanjom CL-STA-0048 opisanom u januaru 2025. godine, koja je takođe povezana sa kineskom hakerskom grupom DragonRank.
„Earth Lamia sprovodi svoje operacije u više zemalja i industrija sa agresivnim namjerama. Istovremeno, grupa konstantno usavršava svoje taktike napada razvijajući prilagođene alate za hakovanje i nove backdoor metode,” navodi Trend Micro.
Izvor: SecurityWeek
