Trend Micro: китайская группировка Earth Lamia использует уязвимости SAP и SQL Server для атак на организации в Азии и Бразилии

Компания Trend Micro опубликовала расследование, посвящённое деятельности хак-группировки Earth Lamia, которую связывают с Китаем. С 2023 года она активно использует уязвимости в продуктах SAP и Microsoft SQL Server для атак на организации в Бразилии, Индии и странах Юго-Восточной Азии.

Исследователи установили, что злоумышленники используют уязвимости SQL-инъекций в веб-приложениях для проникновения во внутреннюю инфраструктуру жертв. Особый интерес у нападающих вызывают доступные извне SQL-серверы, которые они используют как стартовую точку для разведки, эскалации прав и дальнейшего распространения.

Атаки охватывают целый ряд стран — Индонезию, Малайзию, Таиланд, Вьетнам и Филиппины. Сама группировка отслеживается под обозначением Earth Lamia, и её активность частично совпадает с известными кластерами REF0657 (Elastic), STAC6451 (Sophos) и CL-STA-0048 (Palo Alto Networks).

Earth Lamia применяет широкий арсенал инструментов, включая:

• фреймворки Cobalt Strike и Supershell для закрепления в сети;
• утилиты проксирования Rakshasa и Stowaway для скрытого управления;
• эксплойты повышения привилегий GodPotato и JuicyPotato;
• сетевые сканеры Fscan и Kscan;
• системные средства Windows, например wevtutil.exe, для зачистки логов.

В ряде случаев, особенно при атаках на индийские компании, злоумышленники пытались применить шифровальщик Mimic, однако чаще всего запуск был неудачным. В некоторых инцидентах они удаляли вредоносные файлы после неудачи, что может указывать на ограниченный доступ или ошибки в реализации.

Кроме того, в начале мая 2025 года аналитики EclecticIQ сообщили, что Earth Lamia (под кластером CL-STA-0048) использовала критическую уязвимость CVE-2025-31324 в SAP NetWeaver. Этот баг позволял выполнять неаутентифицированную загрузку файлов, что использовалось для создания обратного шелла и получения удалённого доступа к сетям жертв.