APT und gezielte Angriffe
Earth Lusca mit komplexer Infrastruktur und Technik
Earth Lusca, ein hochkompetenter und gef?hrlicher Bedrohungsakteur, hat Cyberspionage zum Ziel, ist aber auch durch finanziellen Gewinn motiviert. Wir bieten Einblick in die Infrastruktur, Aktivit?ten, die genutzten Tools und die bew?hrten Techniken.
Save to Folio
Originalartikel von Joseph C Chen, Kenney Lu, Gloria Chen, Jaromir Horejsi, Daniel Lunghi, Cedric Pernet, Threat Researchers
Seit Mitte 2021 untersuchen wir eine schwer einzusch?tzende Gruppe von Bedrohungsakteuren namens Earth Lusca, die Organisationen auf der ganzen Welt mit einer Kampagne angreift, die traditionelle Social Engineering-Techniken wie Spear-Phishing und Watering Holes einsetzt. Die Hauptmotivation der Gruppe scheint Cyberspionage zu sein: Auf der Liste ihrer Opfer stehen hochwertige Ziele wie Regierungs- und Bildungseinrichtungen, religi?se Bewegungen, pro-demokratische und Menschenrechtsorganisationen in Hongkong, Covid-19-Forschungsorganisationen und die Medien. Die Angriffe scheinen jedoch auch finanziell motiviert zu sein, da sie es auch auf Glücksspiel- und Kryptow?hrungsunternehmen abgesehen haben. Ein technisches Briefing liefert tiefergehende Einsichten in die Aktivit?ten von Earth Lusca, deren Tools genutzter Infrastruktur.
Frühere Untersuchungen zu den Aktivit?ten? hatten diese aufgrund der Verwendung von Malware wie Winnti anderen Bedrohungsakteuren wie der Winnti-Gruppe zugeordnet. Trotz einiger ?hnlichkeiten betrachten wir Earth Lusca jedoch als eigenst?ndigen Bedrohungsakteur (es gibt jedoch Hinweise darauf, dass die Gruppe Teil des ?Winnti-Clusters“ ist, der aus verschiedenen Gruppen mit demselben Herkunftsland besteht und zum Teil gemeinsamen TTPs).
Infrastruktur und Betriebsmodell
Die Infrastruktur von Earth Lusca l?sst sich prinzipiell in zwei ?Cluster“ einteilen. Der erste besteht aus virtuellen privaten Servern (VPS), die von einem Service Provider gemietet sind und für das Watering Hole und Spear Phishing-Aktionen genutzt werden. Zus?tzlich dienen sie als Command-and-Control (C&C)-Server für Malware.
Der zweite Cluster besteht aus kompromittierten Servern, auf denen alte, quelloffene Versionen von Oracle GlassFish Server laufen. Er fungiert als Scan-Tool, das nach Schwachstellen in ?ffentlich zug?nglichen Servern sucht und Traffic-Tunnels im Netzwerk des Ziels aufbaut. Wie der erste Cluster dient er auch als C&C-Server, diesmal für Cobalt Strike.
M?glicherweise nutzte die Gruppe Teile ihrer Infrastruktur (insbesondere die Scan-Teile) zur Ablenkung, um die Sicherheitsmitarbeiter dazu zu verleiten, sich auf die falschen Teile des Netzwerks zu konzentrieren.
Bild 1. ?berblick über die Infrastruktur von Earth Lusca
Techniken des Social Engineerings und Ausnutzung von Schwachstellen
Die Gruppe nutzt drei Hauptangriffsvektoren, von denen zwei Social Engineering beinhalten, n?mlich Spear-Phishing-Mails und Watering-Hole-Websites.
Unsere Telemetriedaten zeigen, wie Earth Lusca Spear-Phishing-Mails mit b?sartigen Links an eines ihrer Ziele - ein Medienunternehmen - sendet. Diese Links enthalten Dateien, die entweder als Dokumente getarnt sind, die für das potenzielle Ziel von Interesse w?ren, oder als Umfrageformulare, die angeblich von einem anderen Medienunternehmen stammen. Der Benutzer l?dt schlie?lich eine Archivdatei herunter, die entweder eine b?sartige LNK-Datei oder eine ausführbare Datei enth?lt, die? zu einem Cobalt Strike Loader führt.
Zus?tzlich zu Spear-Phishing-Mails nutzte Earth Lusca auch Watering-Hole-Websites - sie kompromittierten entweder die Websites ihrer Ziele oder erstellten gef?lschte Webseiten, die von legitimen Websites kopiert wurden, und fügten dann b?sartigen JavaScript-Code in diese ein. Die Links zu diesen Websites werden dann an die Opfer gesendet (obwohl wir nicht genau feststellen konnten, wie dies geschah).
In einem Fall schleuste die Gruppe ein b?sartiges Skript in das kompromittierte HR-System einer Zielorganisation ein. Dieses Skript war so konzipiert, dass es eine Social-Engineering-Nachricht anzeigte - in der Regel ein Flash-Update-Popup oder einen DNS-Fehler (Adobe hat den Flash Player Ende Dezember 2020 eingestellt), die den Besucher aufforderte, eine b?sartige Datei herunterzuladen, die als Cobalt Strike Loader erkannt wurde.
Bild 2. Fake Installations-Pop-up
Der dritte Angriffsvektor besteht in dem Missbrauch von Schwachstellen, die in ?ffentlich zug?nglichen Anwendungen der Opfer existieren, etwa in ?Microsoft Exchange ProxyShell und . Nach dem Eindringen k?nnen die Akteure ihre Post-Exploitation-Routinen starten, n?mlich Tools wie Cobalt Strike und Acunetix installieren.
Von Earth Lusca verwendete Malware
Earth Lusca hat verschiedene Malware und Hacking-Tools im Arsenal. Bei all ihren Angriffsvektoren wurden etwa CobaltStrike-Loader genutzt - es ist in der Tat eines der bevorzugten Tools der Gruppe aufgrund seiner breiten Palette von Post-Exploitation-M?glichkeiten.
Darüber hinaus nutzt Earth Lusca ?, eine Backdoor (nach einer japanischen Manga benannt). Sie hat zwei C&C-Settings: eines für IP oder DNS und eine ?ffentlich Website URL, die verschlüsselte oder Klartext-C&C IP-Adressen umfasst.
Die Gruppe nutzt auch bekannte Malware wie und Winnti sowie andere Tools, etwa Kryptow?hrungs-Miner.
Best Practices zur Verteidigung gegen Earth Lusca-Angriffe
Die Beweise deuten darauf hin, dass Earth Lusca ein hochkompetenter und gef?hrlicher Bedrohungsakteur ist, der haupts?chlich durch Cyberspionage und finanziellen Gewinn motiviert ist. Allerdings setzt die Gruppe nach wie vor haupts?chlich auf bew?hrte Techniken, um ein Ziel in die Falle zu locken. Dies hat zwar seine Vorteile (die Techniken haben sich bereits als wirksam erwiesen), bedeutet aber auch, dass bew?hrte Sicherheitspraktiken, wie z. B. das Vermeiden des Anklickens verd?chtiger Mail-/Website-Links und das Aktualisieren wichtiger ?ffentlich zug?nglicher Anwendungen, die Auswirkungen eines Earth Lusca-Angriffs minimieren oder sogar verhindern k?nnen.
Unser technisches Briefing beinhaltet weitere Details zu Earth Lusca und deren Aktivit?ten, sowie die Indicators of Compromise.