Анализ активности APT-группы Earth Lamia: тактики и угрозы
Источник: www.trendmicro.com
Аналитики Trend Research выявили активность продвинутой хакерской группы (APT) под названием Earth Lamia, действующей с 2023 года. Эта группа специализируется на эксплуатации уязвимостей веб-приложений и применяет сложные методы для получения несанкционированного доступа к сетям целевых организаций, преимущественно в Бразилии, Индии и странах Юго-Восточной Азии.
Особенности методики атак и целевые отрасли
Изначально Earth Lamia фокусировалась на секторе финансовых услуг, однако со временем расширила спектр атак на:
- логистические компании;
- онлайн-ритейл;
- IT-компании;
- университеты;
- государственные организации.
Основной вектор проникновения — SQL-инъекции, применяемые для компрометации SQL-серверов. В ходе атак хакеры активно используют уязвимости веб-приложений, нацеливаясь на самые слабые места инфраструктуры.
Инструментарий и техники сокрытия
Earth Lamia разрабатывает и применяет собственные инструменты для обхода систем безопасности и поддержания устойчивого контроля над скомпрометированными системами. Ключевые компоненты арсенала включают:
- PULSEPACK — модульный .NET-бэкдор, способный работать с командами и контроллерами (C&C). Интересной особенностью является динамическое определение IP-адреса C&C через настроенный URL с возможностью fallback на жестко заданный адрес. Связь реализуется через TCP-сокеты и WebSockets в различных версиях.
- BypassBoss — инструмент повышения привилегий в целевой системе.
Для запуска вредоносных компонентов злоумышленники прибегают к загрузке DLL-библиотек и используют методы упаковки, включая запутывание (obfuscation) и манипуляции со строками, с целью обхода обнаружения антивирусами и системами обнаружения вторжений.
Также группа активно применяет погрузчики Cobalt Strike, защищающие свои полезные нагрузки с помощью шифрования RC4 и AES. Их функциональность включает удаление файлов, выполнение удалённых команд и интеграцию с модифицированными утилитами с открытым исходным кодом, что позволяет адаптировать атаки под конкретные сценарии и снижать вероятность обнаружения.
Связи с другими операциями и тактиками
В аналитических данных зафиксированы пересечения активности Earth Lamia с другими бэкдорами и операциями, известными под именами REF0657 и Stac6451. Это наводит на мысль о вероятном использовании ими общих тактик, либо нацеливании на одних и тех же жертв.
Кроме того, выявленные связи между атаками с использованием Cobalt Strike и определёнными IP-адресами указывают на сотрудничество или параллельную деятельность нескольких киберпреступных групп, применяющих различные способы проникновения.
Рекомендации по защите от угроз Earth Lamia
Исходя из анализа, эксперты подчеркивают необходимость комплексного подхода к снижению рисков проникновения от Earth Lamia:
- регулярное обновление программного обеспечения и своевременное применение патчей для веб-приложений;
- внедрение систем мониторинга и аналитики, способных выявлять аномальные действия в сетях и своевременно сигнализировать о возможном взломе;
- повышение возможностей упреждающего обнаружения угроз (threat hunting) и оперативного реагирования на инциденты (incident response);
- обучение сотрудников принципам кибергигиены и информирование об актуальных методах социальной инженерии и атаках.
Современный киберландшафт требует от организаций принятия проактивных мер. Группа Earth Lamia демонстрирует адаптивность и техническую изощрённость, что требует от специалистов повышенного внимания и готовности к новым вызовам в области кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
