Door China gesteunde Earth Baku breidt cyberaanvallen uit naar Europa, het Midden-Oosten en Afrika

De door China gesteunde dreigingsactor Earth Baku heeft zijn aanvalsgebied uitgebreid van de Indo-Pacifische regio naar Europa, het Midden-Oosten en Afrika, en startte eind 2022.

Nieuwe landen die als onderdeel van de activiteit worden aangevallen, zijn onder meer Italië, Duitsland, de VAE en Qatar, met vermoedelijke aanvallen die ook in Georgië en Roemenië zijn gedetecteerd. Overheden, media en communicatie, telecom, technologie, gezondheidszorg en onderwijs zijn enkele van de sectoren die als onderdeel van de intrusieset zijn aangemerkt.

“De groep heeft haar tools, tactieken en procedures (TTP’s) in recentere campagnes geüpdatet en maakt daarbij gebruik van openbare applicaties zoals IIS-servers als toegangspunten voor aanvallen. Hierna worden geavanceerde malwaretoolsets op de omgeving van het slachtoffer geïmplementeerd”, aldus Trend Micro-onderzoekers Ted Lee en Theo Chen in een vorige week gepubliceerde analyse.

De bevindingen bouwen voort op recente rapporten van Zscaler en Mandiant, eigendom van Google, waarin ook het gebruik van malwarefamilies zoals DodgeBox (ook bekend als DUSTPAN) en MoonWalk (ook bekend als DUSTTRAP) door de dreigingsactor werd beschreven. Trend Micro heeft ze de bijnamen StealthReacher en SneakCross gegeven.

Earth Baku, een dreigingsactor die in verband wordt gebracht met APT41, staat bekend om het gebruik van StealthVector in oktober 2020. Aanvalsketens maken gebruik van openbare applicaties om de Godzilla-webshell te droppen, die vervolgens wordt gebruikt om vervolgpayloads te leveren.

Door China gesteunde Aarde Bakoe

StealthReacher wordt geclassificeerd als een verbeterde versie van de StealthVector backdoor loader die verantwoordelijk is voor de lancering van SneakCross, een modulair implantaat en een waarschijnlijke opvolger van ScrambleCross dat gebruikmaakt van Google-services voor zijn command-and-control (C2)-communicatie.

De aanvallen worden ook gekenmerkt door het gebruik van andere post-exploitatietools zoals iox, Rakshasa en een Virtual Private Network (VPN)-service die bekendstaat als Tailscale. Exfiltratie van gevoelige gegevens naar de MEGA-cloudopslagservice wordt uitgevoerd met behulp van een opdrachtregelhulpprogramma genaamd MEGAcmd.

“De groep heeft nieuwe loaders ingezet, zoals StealthVector en StealthReacher, om stiekem backdoorcomponenten te lanceren, en SneakCross is hun nieuwste modulaire backdoor”, aldus de onderzoekers.

“Earth Baku gebruikte ook verschillende tools tijdens de post-exploitatie, waaronder een aangepaste iox-tool, Rakshasa, TailScale voor persistentie en MEGAcmd voor efficiënte data-exfiltratie.”

Thijs Van der Does