Earth Lusca, un misterioso attore di minacce, è stato rilevato attaccare molte organizzazioni in tutto il mondo. Secondo Trend Micro, gli aggressori sono alla ricerca di informazioni riservate e di guadagni finanziari.
In una recente analisi, gli analisti di Trend Micro hanno osservato che “l’elenco delle sue vittime include obiettivi di alto valore come il governo e le istituzioni educative, i gruppi religiosi, le organizzazioni a favore della democrazia e dei diritti umani a Hong Kong, gli istituti di ricerca sul COVID-19 e i media, tra i più rilevanti. Tuttavia, l’attore delle minacce sembra essere guidato dal denaro, poiché prende di mira anche società di giochi e criptovalute”.
Secondo la società di sicurezza informatica, la banda fa parte della rete Winnti, che si trova in Cina e si concentra sulla raccolta di informazioni e sul furto di proprietà intellettuale.
Per penetrare i suoi obiettivi, la Earth Lusca impiega attacchi di spear-phishing e water-hole. Utilizza anche diversi bugs in Microsoft Exchange ProxyShell e Oracle GlassFish Server per portarli a termine.
Cobalt Strike, Doraemon, ShadowPad, Winnti, FunnySwitch e shell web come AntSword e Behinder sono tra gli strumenti e i malware che la banda utilizza più di frequente.
Cobalt Strike è nato come strumento per i ricercatori di sicurezza, ma ora si è evoluto in uno strumento popolare per gli attaccanti che cercano di eseguire attività malevole con l’esecuzione di codice in remoto.
Nonostante il fatto che “il reddito generato dalle operazioni di mining sembra essere scarso”, i ricercatori hanno scoperto che gli autori sono comunque motivati a compiere queste azioni.
Earth Lusca ha preso di mira le aziende con interessi chiave in Cina, secondo i dati di telemetria dell’azienda:
Attività di gioco d’azzardo continentali Cina, istituzioni governative taiwanesi, Emirati Arabi Uniti, Mongolia, Tailandia, Filippine, Vietnam e Nigeria, nonché istituzioni educative taiwanesi, di Hong Kong, giapponesi e francesi; Istituti di ricerca COVID-19 negli Stati Uniti; testate giornalistiche taiwanesi, di Hong Kong, australiane, tedesche e francesi; gruppi e movimenti politici a Hong Kong che sostengono la democrazia e i diritti umani; società di telecomunicazioni nepalesi; i movimenti religiosi vietati nella Cina continentale, e i siti di scambio di bitcoin.
A causa delle sue procedure collaudate, la banda può compiere ulteriori atti dannosi al di fuori dello spionaggio informatico.
“Le prove suggeriscono che Earth Lusca è un attore di minacce altamente capace e pericoloso guidato principalmente dallo spionaggio informatico e dal guadagno finanziario. L’organizzazione, tuttavia, continua a fare affidamento su metodi collaudati per intrappolare una vittima”, secondo i ricercatori.
“Sebbene questo abbia i suoi vantaggi (le tattiche hanno già dimostrato di funzionare), implica anche che le migliori pratiche di sicurezza, come evitare collegamenti di posta elettronica/siti Web discutibili e aggiornare programmi essenziali rivolti al pubblico, potrebbero ridurre il danno – o addirittura bloccare – un assalto della Earth Lusca.”
