Según un informe de Trend Micro, El grupo chino de ciberespionaje Earth Lusca no sólo vigila objetivos estratégicos, pero también participa en ataques con fines financieros y con fines de lucro..
Los investigadores escribir que en los últimos años, El grupo de hackers ha estado espiando una variedad de objetivos que podrían ser de interés para el gobierno chino., por ejemplo:
- agencias gubernamentales en Taiwán, Tailandia, Filipinas, Vietnam, Emiratos Árabes Unidos, Mongolia y Nigeria;
- instituciones educativas en Taiwán, Hong Kong, Japón y Francia;
- Medios en Taiwán, Hong Kong, Australia, Alemania y Francia;
- Organizaciones y movimientos políticos a favor de la democracia y los derechos humanos en Hong Kong.;
- organizaciones de investigación que estudian COVID-19 en los EE. UU.;
- empresas de telecomunicaciones en Nepal;
- Movimientos religiosos prohibidos en China continental
Curiosamente, al mismo tiempo, el grupo logró atacar empresas de juegos de azar en China y varias plataformas de criptomonedas, robar fondos de otras personas.
El record notas que los grupos de hackers que practican ataques de espionaje y por motivos financieros no son una rareza. Por ejemplo, Hackers iraníes piratean dispositivos VPN en todo el mundo, seleccionar objetivos importantes que necesitan para recopilar datos, y vender el “sobrante” en la web oscura, en foros frecuentados por operadores de ransomware.
Los hackers norcoreanos son una categoría en sí misma, ya que algunos de ellos están claramente autorizados por el estado para robar bancos y casas de cambio de criptomonedas para recaudar dinero para su país., que lleva mucho tiempo bajo severas sanciones económicas.
En cuanto a China, Se ha observado previamente un comportamiento similar en algunos grupos de hackers del Reino Medio.. Por ejemplo, el informe FireEye habla sobre APT41 (también conocido como doble dragón), cuyas tácticas son en muchos aspectos similares a Earth Lusca.
Trend Micro informa que los participantes de Earth Lusca utilizan principalmente tres métodos de ataque en sus campañas:
- Explotación de vulnerabilidades sin parches en servidores y aplicaciones web accesibles a través de Internet. (por ejemplo, Oracle GlassFish y Microsoft Exchange);
- Correos electrónicos de phishing dirigidos que contienen enlaces a archivos o sitios web maliciosos.;
- Ataques de abrevadero, cuando las víctimas son atraídas a sitios previamente comprometidos, y ahí intentan infectarlos con malware.
En la mayoría de los casos, los atacantes pretendían implementar Cobalt Strike en hosts infectados, y las cargas útiles utilizadas durante la segunda fase del ataque incluyen el Doraemon, SombraPad, winnti y divertidointerruptor puertas traseras, así como el hormigaespada y detrás conchas web.
Los investigadores también notaron que el grupo a menudo implementa malware de minería en hosts infectados..
Aunque no está claro si esto se hace con el fin de extraer criptomonedas o es una forma de desviar la atención de los especialistas en TI de la empresa víctima., ¿Quién puede creer que el hack estaba relacionado con una botnet de minería normal?, y no una compleja operación de espionaje.
Permítanme recordarles que hablé del hecho de que el El grupo de hackers chino Aquatic Panda explota Log4Shell hackear instituciones educativas, y también que el El grupo de hackers chino Chimera roba datos de pasajeros aéreos.