一個名為”Earth Krahang”的中國高級持續性威脅（APT）組織發起了一場複雜的駭客攻擊活動，入侵了45 個國家的70 個組織，攻擊目標至少116 個。根據趨勢科技研究人員對該活動的監測，該活動自2022 年初開始，主要針對政府組織。

具體來說，駭客已經入侵了48 個政府組織，其中10 個是外交部門，另外49 個政府機構也成為了駭客的攻擊目標。

攻擊者利用易受攻擊的面向互聯網的伺服器，使用魚叉式網路釣魚電子郵件部署客製化的網路間諜活動後門。

Earth Krahang 濫用其在被攻破的政府基礎設施上的存在來攻擊其他政府，在被攻破的系統上建立VPN 伺服器，並執行暴力破解以破解重要電子郵件帳戶的密碼。

攻擊概述

威脅行為者利用開源工具掃描面向大眾的伺服器，尋找特定漏洞，如CVE-2023-32315 （Openfire）和CVE-2022-21587 （Oracle Web Apps）。

透過利用這些漏洞，他們部署webhell 來取得未經授權的存取權限，並在受害者網路中建立持久性。

或者，他們使用魚叉式網路釣魚作為初始訪問載體，圍繞地緣政治主題發送訊息，誘使收件人打開附件或點擊連結。

一旦進入網絡，Earth Krahang 就會利用入侵的基礎設施託管惡意有效載荷、代理攻擊流量，並使用被駭客入侵的政府電子郵件帳戶向其同事或其他政府發送魚叉式網絡釣魚電子郵件。

趨勢科技在報告中寫道：”我們注意到，Earth Krahang 在偵察階段會從目標處獲取數百個電子郵件地址。在一個案例中，行為者利用一個政府實體的受損郵箱向屬於同一實體的796 個電子郵件地址發送惡意附件”。

這些電子郵件包含惡意附件，可將後門植入受害者的計算機，傳播感染並在檢測和清理時實現冗餘。

攻擊者使用被入侵的Outlook 帳戶來強行取得Exchange 憑證，同時也發現了專門從Zimbra 伺服器滲入電子郵件的Python 腳本。

該威脅組織還利用SoftEtherVPN 在被入侵的面向公眾的伺服器上建立VPN 伺服器，以建立對受害者私人網路的訪問，並進一步提高他們在這些網路中橫向移動的能力。

Eath Krahang 在網路上建立存在後，會部署Cobalt Strike、RESHELL 和XDealer 等惡意軟體和工具，提供指令執行和資料收集功能。

XDealer 是這兩種後門程式中更複雜、更精密的一種，因為它支援Linux 和Windows，可以截圖、記錄鍵盤輸入和截取剪貼簿資料。

趨勢科技稱，根據指揮和控制（C2）的重疊，它最初發現Earth Krahang 與中國附屬行為者Earth Lusca 之間存在聯繫，但確定這是一個獨立的集群。

這兩個威脅組織可能都在中國公司I-Soon旗下運作，作為專門針對政府實體進行網路間諜活動的特遣部隊。

此外，RESHELL 以前與”Gallium”組織有關，而XDealer 則與”Luoyu”黑客有關。然而，趨勢科技的洞察力表明，這些工具很可能是威脅行為者之間共享的，每個工具都使用不同的加密金鑰。

本次的”Earth Krahang”指標清單在此單獨發布。