Lale Çorumlu

Earth Lusca adlı yakalanması zor bir tehdit aktörünün, aynı anda hem bir casusluk kampanyası hem de parasal kazanç elde etme girişimi olarak görünen şeyin bir parçası olarak dünya çapında grev yapan kuruluşlar olduğu gözlemlendi.

Trend Micro araştırmacıları, "Kurbanlarının listesi, diğerlerinin yanı sıra hükümet ve eğitim kurumları, dini hareketler, Hong Kong'daki demokrasi ve insan hakları örgütleri, COVID-19 araştırma kuruluşları ve medya gibi yüksek değerli hedefleri içeriyor" dedi yeni bir raporda. "Ancak, tehdit aktörü aynı zamanda kumar ve kripto para şirketlerini de hedef aldığı için finansal olarak motive olmuş görünüyor.

Siber güvenlik firması, grubu, istihbarat toplama ve fikri mülkiyet hırsızlığına odaklanan tek bir ayrı varlıktan ziyade bir dizi bağlantılı gruba atıfta bulunan Çin merkezli daha büyük Winnti kümesinin bir parçası olarak nitelendirdi.

Earth Lusca'nın izinsiz giriş yolları, hedefli kimlik avı ve su deliği saldırıları ile kolaylaştırılırken, Microsoft Exchange ProxyShell ve Oracle GlassFish Server açıkları gibi halka açık uygulamalardaki güvenlik açıklarından bir saldırı vektörü olarak yararlanılır.

Bulaşma zincirleri, Doraemon, ShadowPad, Winnti, FunnySwitch ve AntSword ve Behinder gibi web kabukları gibi çeşitli ek kötü amaçlı yazılımların yanı sıra Cobalt Strike'ın dağıtımına yol açar.

Cobalt Strike, kırmızı ekiplerin penetrasyon testinde kullanması için geliştirilmiş, meşru bir uzaktan erişim aracı olarak ortaya çıkan tam özellikli bir izinsiz giriş paketidir. Bununla birlikte, son yıllarda, bir tehdit aktörünün cephaneliğinde tercih edilen araçlardan biri ve bir dayanağı uygulamalı bir saldırıya dönüştürmenin birincil yollarından biri haline geldi.

İlginç bir şekilde, saldırılar virüslü ana bilgisayarlara kripto para birimi madencileri yüklemeyi de içeriyor olsa da, araştırmacılar "madencilik faaliyetlerinden elde edilen gelirin düşük göründüğüne" dikkat çekti.

Trend Micro tarafından toplanan telemetri verileri, Earth Lusca'nın Çin hükümetinin stratejik çıkarına olabilecek varlıklara karşı saldırılar düzenlediğini ortaya koyuyor:

• Anakara Çin'deki kumar şirketleri
• Tayvan, Tayland, Filipinler, Vietnam, Birleşik Arap Emirlikleri, Moğolistan ve Nijerya'daki devlet kurumları
• Tayvan, Hong Kong, Japonya ve Fransa'daki eğitim kurumları
• Tayvan, Hong Kong, Avustralya, Almanya ve Fransa'daki haber medyası
• Hong Kong'da demokrasi ve insan hakları yanlısı siyasi örgütler ve hareketler
• ABD'deki COVID-19 araştırma kuruluşları
• Nepal'deki telekom şirketleri
• Anakara Çin'de yasaklanan dini hareketler ve
• Çeşitli kripto para ticaret platformları

Araştırmacılar, "Kanıtlar, Earth Lusca'nın esas olarak siber casusluk ve finansal kazançla motive edilen yüksek vasıflı ve tehlikeli bir tehdit aktörü olduğuna işaret ediyor. Bununla birlikte, grup hala bir hedefi tuzağa düşürmek için denenmiş ve gerçek tekniklere güveniyor" dedi.

"Bunun avantajları olsa da (tekniklerin etkili olduğu zaten kanıtlanmıştır), aynı zamanda şüpheli e-posta/web sitesi bağlantılarına tıklamaktan kaçınmak ve halka açık önemli uygulamaları güncellemek gibi en iyi güvenlik uygulamalarının etkiyi en aza indirebileceği - hatta hatta dur - bir Dünya Lusca saldırısı."

Kaynak: https://thehackernews.com/2022/01/earth-lusca-hackers-aimed-at-high-value.html