Earth Lamia APT攻击

发布日期： 2025年5月30日
更新日期： 2025年6月2日

概述

黑客组织瞄准多个行业

FortiGuard的全球传感器网络报告显示，针对与Earth Lamia APT活动相关漏洞的攻击尝试持续保持高位。根据趋势研究，被称为Earth Lamia的黑客组织一直积极瞄准多个行业领域——包括金融、政府、IT、物流、零售和教育——根据不断变化的目标和时间段调整其攻击重点。该组织以高度活跃著称，主要利用面向公众的系统和Web应用中的已知漏洞来获取访问权限。

常见漏洞和暴露（CVE）

CVE-2025-31324
CVE-2024-51378
CVE-2024-27199
CVE-2024-27198
CVE-2024-51567
CVE-2021-22205
CVE-2024-9047
CVE-2024-56145
CVE-2017-9805

技术分析

背景信息

APT威胁行为者Earth Lamia组织是一个基于中国的威胁行为者，主要针对位于巴西、印度和东南亚等国家的组织。他们利用的一些关键漏洞包括：

CVE-2017-9805（Apache Struts）
CVE-2021-22205（GitLab）
CVE-2024-9047（WordPress）
CVE-2024-27198和CVE-2024-27199（TeamCity）
CVE-2024-51378和CVE-2024-51567（CyberPanel）
CVE-2024-56145（Craft CMS）
最近观察到的CVE-2025-31324（SAP NetWeaver）

根据趋势研究的最新报告，在获得初始访问权限后，该黑客组织被观察到部署了一个模块化的.NET后门，该后门可以在需要时从其命令与控制（C&C）服务器加载插件。

威胁雷达

总体评分： 4.8

CVSS评分： 10.0
FortiRecon评分： 92/100
已知被利用： 是
漏洞利用预测评分： 94.58%
FortiGuard遥测数据： 35415

解决方案

FortiGuard网络安全框架

防护（PROTECT）

AV：检测与此次爆发相关的已知恶意软件
漏洞管理：检测运行易受攻击应用程序的终端用户设备
IPS：检测并阻止利用该漏洞的攻击尝试
Web应用安全：检测并阻止利用该漏洞的攻击尝试

检测（DETECT）

IOC：威胁指标检测
爆发检测：实时威胁检测
威胁狩猎：主动威胁搜寻
内容更新：持续更新检测内容

响应（RESPOND）

自动化响应：自动响应服务
辅助响应服务：专家协助分析、遏制和响应活动

恢复（RECOVER）

NOC/SOC培训：培训网络和安全专业人员
终端用户培训：提高员工安全意识

识别（IDENTIFY）

漏洞管理：检测运行易受攻击应用程序的终端用户设备
攻击面加固：检查安全架构设备以构建可操作的配置建议
攻击面监控（内部和外部）：全面攻击面监控

威胁情报

威胁指标（IOC）

IOC指标列表

指标	类型	状态
01db4578f5fb7b29800f7b07a31fda7ff812309f62f7148fca	文件	活跃
08e110aad0bf09c2cdd64b0df0733b25	文件	活跃
0a1b14c2b8a453323841431fa44d0e32	文件	活跃
0d4fecdecd054f96890cf2026c5e749d61197d2d5471d58d2a	文件	活跃
1.234.16.54	IP	活跃

入侵防护统计

Apache Struts 2 REST插件XStream处理器代码执行
- 过去24小时：3730次
- 趋势：-29%
GitLab CE EE ExifTool元数据命令注入
- 过去24小时：32次
- 趋势：-48%
JetBrains TeamCity BaseController认证绕过
- 过去24小时：539次
- 趋势：-32%
JetBrains TeamCity CVE-2024-27199路径遍历
- 过去24小时：477次
- 趋势：-25%

参考资料

威胁信号报告（SAP零日）
威胁信号报告（TeamCity）
趋势微研究
安全周刊
SC Media

Earth Lamia APT攻击技术深度分析

本文详细分析了Earth Lamia APT组织利用多个已知漏洞针对金融、政府、IT等行业的攻击活动，包括攻击技术细节、利用的CVE漏洞列表、威胁指标以及防护解决方案。