Μια προηγουμένως άγνωστη κινεζική ομάδα hacking APT (προηγμένη επίμονη απειλή) με την ονομασία «Earth Longzhi» στοχεύει οργανισμούς στην Ανατολική Ασία, τη Νοτιοανατολική Ασία και την Ουκρανία.

Οι φορείς απειλών δραστηριοποιούνται τουλάχιστον από το 2020, χρησιμοποιώντας προσαρμοσμένες εκδόσεις των φορτωτών Cobalt Strike για την εγκατάσταση επίμονων κερκόπορτων στα συστήματα των θυμάτων.

Σύμφωνα με μια νέα αναφορά της Trend Micro, το Earth Longzhi έχει παρόμοιο TTP (τεχνικές, τακτικές και διαδικασίες) με το «Earth Baku», και οι δύο θεωρούνται υποομάδες της κρατικής ομάδας hacking που παρακολουθείται ως APT41.

Διάγραμμα υποομάδων APT41 (Trend Micro)

Η παλαιότερη καμπάνια του Earth Longzhi Η αναφορά του

Trend Micro απεικονίζει δύο εκστρατείες που διεξήγαγε η Earth Longzhi, με την πρώτη να έλαβε χώρα μεταξύ Μαΐου 2020 και Φεβρουαρίου 2021.

Κατά τη διάρκεια αυτής της περιόδου, οι χάκερ επιτέθηκαν σε πολλές εταιρείες υποδομής στην Ταϊβάν, μια τράπεζα στην Κίνα και μια κυβερνητικός οργανισμός στην Ταϊβάν.

Χρονοδιάγραμμα πρώτης καμπάνιας (Trend Micro)

Σε αυτήν την καμπάνια, οι χάκερ χρησιμοποίησαν το προσαρμοσμένο πρόγραμμα φόρτωσης Cobalt Strike “Symatic”, το οποίο διαθέτει ένα εξελιγμένο σύστημα αντι-ανίχνευσης που περιλαμβάνει τις ακόλουθες λειτουργίες:

• Αφαίρεση αγκίστρων API από το “ntdll.dll”, λήψη ακατέργαστου περιεχομένου αρχείου και αντικατάσταση την εικόνα ntdll στη μνήμη με ένα αντίγραφο που δεν παρακολουθείται από εργαλεία ασφαλείας.
• Δημιουργήστε μια νέα διαδικασία για την ένεση της διαδικασίας και μεταμφιέστε τη μητρική διαδικασία για να θολώσει την αλυσίδα.
• Εισάγετε ένα αποκρυπτογραφημένο ωφέλιμο φορτίο στη διαδικασία που δημιουργήθηκε πρόσφατα.

Για τις κύριες δραστηριότητές του, το Earth Longzhi χρησιμοποίησε ένα εργαλείο hacking all-in-one που συνδύαζε διάφορα δημόσια διαθέσιμα εργαλεία σε ένα μόνο πακέτο.

Αυτό το εργαλείο μπορεί να ανοίξει έναν διακομιστή μεσολάβησης Socks5, να εκτελέσει σαρώσεις κωδικών πρόσβασης σε διακομιστές MS SQL, να απενεργοποιήσει την προστασία αρχείων των Windows, να τροποποιήσει χρονικές σημάνσεις αρχείων, θύρες σάρωσης, να εκκινήσει νέες διεργασίες, να εκτελέσει πλαστογράφηση RID, να απαριθμήσει μονάδες δίσκου και να εκτελέσει εντολές με το ‘SQLExecDirect’.