Μια κινεζική ομάδα έχει στοχεύσει γνωστές ευπάθειες σε web εφαρμογές για να παραβιάσει οργανισμούς σε διάφορους κλάδους ανά τον κόσμο, αναφέρει η Trend Micro.
Earth Lamia: Δραστηριότητα και στόχοι της ομάδας
Ενεργή τουλάχιστον από το 2023 και γνωστή ως Earth Lamia, η ομάδα hacking έχει στοχεύσει τους τομείς των χρηματοοικονομικών, της κυβέρνησης, της πληροφορικής, της λογιστικής, του λιανικού εμπορίου και της εκπαίδευσης, εστιάζοντας όμως σε συγκεκριμένους κλάδους ανά περιόδους.
Μέθοδοι και τεχνικές εκμετάλλευσης
Πολύ ενεργή, η ομάδα απειλής έχει παρατηρηθεί να εκμεταλλεύεται γνωστές αδυναμίες ασφαλείας σε διάφορα δημόσια διαθέσιμα συστήματα, με κύριο στόχο τις ευπάθειες SQL injection σε web εφαρμογές.
Οι εκμεταλλευόμενες αδυναμίες περιλαμβάνουν τα CVE-2017-9805 (Apache Struts), CVE-2021-22205 (GitLab), CVE-2024-9047 (WordPress), CVE-2024-27198 και CVE-2024-27199 (TeamCity), CVE-2024-51378 και CVE-2024-51567 (CyberPanel), CVE-2024-56145 (Craft CMS), και πιο πρόσφατα CVE-2025-31324 (SAP NetWeaver).
Δραστηριότητες μετά την αρχική πρόσβαση
Μετά την αρχική πρόσβαση, η Earth Lamia έχει παρατηρηθεί να εγκαθιστά επιπλέον εργαλεία, να αναπτύσσει webshells, να αυξάνει δικαιώματα, να δημιουργεί λογαριασμούς διαχειριστή, να εξάγει διαπιστευτήρια, να σαρώνει το δίκτυο, να δημιουργεί proxy tunnels, να εκτελεί backdoors.
Κατάχρηση ευπαθειών SQL injection
Επιπλέον, οι επιθέσεις αξιοποιούν τις ευπάθειες SQL injection για να δημιουργήσουν νέο λογαριασμό «sysadmin123» σε στοχευμένους SQL servers, αποκτώντας δικαιώματα διαχειριστή για άμεση πρόσβαση και κλοπή δεδομένων θυμάτων.
Χρήση εργαλείων και τεχνικών παραβίασης
Η ομάδα απειλής χρησιμοποιεί νόμιμα βοηθητικά προγράμματα, το BypassBoss (μια τροποποιημένη έκδοση εργαλείου που αρχικά μοιράστηκε σε κινεζικά φόρουμ), εργαλεία ανοιχτού κώδικα και προσαρμοσμένους φορτωτές για sideloading κακόβουλων DLL σε εφαρμογές ασφαλείας, για την εκτέλεση shellcode Cobalt Strike και Brute Ratel.
Modular .NET backdoor και plugins
Η ομάδα έχει αναπτύξει ένα modular backdoor σε .NET, με την ονομασία Pulsepack, που μπορεί να φορτώνει plugins από τον server command-and-control (C&C) όποτε χρειάζεται. Το βασικό εκτελέσιμο επικοινωνεί μόνο με τον C&C, αλλά κάθε plugin επεκτείνει τις δυνατότητές του.
Γεωγραφική εμβέλεια και σύνδεση με άλλες καμπάνιες
Η Earth Lamia στοχεύει οργανισμούς στη Βραζιλία, την Ινδία και τη Νοτιοανατολική Ασία από το 2023. Παρότι οι επιθετικές τους ενέργειες έχουν αναφερθεί σε προηγούμενες αναφορές ασφαλείας, η Trend Micro πιστεύει ότι πρόκειται για μια μεμονωμένη κινεζική ομάδα.
Η εταιρεία κυβερνοασφάλειας έχει εντοπίσει συνδέσεις με την REF0657, που στόχευσε τον χρηματοοικονομικό τομέα στη Νότια Ασία τον Ιανουάριο του 2024, και την καμπάνια STAC6451 που χρησιμοποίησε το Mimic ransomware, αν και δεν έχει παρατηρηθεί η χρήση ransomware από την Earth Lamia.
Σύνδεση με άλλες καμπάνιες κατασκοπείας
Η ομάδα φαίνεται επίσης να σχετίζεται με την κατασκοπευτική καμπάνια CL-STA-0048, που αναφέρθηκε τον Ιανουάριο του 2025 και συνδέεται με την κινεζική ομάδα απειλής DragonRank.
«Η Earth Lamia διεξάγει τις επιχειρήσεις της σε πολλές χώρες και βιομηχανίες με επιθετικές προθέσεις. Ταυτόχρονα, ο φορέας της απειλής συνεχώς βελτιώνει τις τακτικές επίθεσής του, αναπτύσσοντας προσαρμοσμένα εργαλεία hacking και νέα backdoors», επισημαίνει η Trend Micro.
