Earth Lamia APT组织开发定制化工具集瞄准多行业攻击

趋势科技研究发现Earth Lamia APT组织自2023年起针对巴西、印度和东南亚多行业目标,利用Web应用漏洞入侵,开发PULSEPACK后门和定制化工具,采用DLL侧加载等技术规避检测。

Earth Lamia开发定制化武器库瞄准多行业目标 | 趋势科技(美国)

趋势研究已将Earth Lamia确定为APT威胁行为者,利用Web应用程序中的漏洞获取组织访问权限,并使用各种技术进行数据外泄。

  • Earth Lamia开发并定制黑客工具以规避检测,例如PULSEPACK和BypassBoss
  • Earth Lamia自2023年以来主要针对巴西、印度和东南亚的组织。最初专注于金融服务,后转向物流和在线零售,最近重点关注IT公司、大学和政府组织
  • Trend Vision One™检测并阻止本博客中讨论的IOC。Trend Vision One还提供狩猎查询、威胁洞察和威胁情报报告,以获取有关Earth Lamia的丰富上下文和最新更新

介绍

我们自2023年以来一直在追踪一个活跃的入侵集,主要针对位于巴西、印度和东南亚等国家的组织。该威胁行为者主要利用Web应用程序中发现的SQL注入漏洞来访问目标组织的SQL服务器。该行为者还利用各种已知漏洞来利用面向公众的服务器。研究报告也提到了他们的激进操作,包括REF0657、STAC6451和CL-STA-0048。我们在研究期间收集的证据表明该组织是一个与中国有关的入侵集,我们现在将其追踪为Earth Lamia。

Earth Lamia非常活跃,但我们的观察发现其目标在不同时间段发生了变化。他们针对许多组织,但在每个时间段仅专注于少数特定行业。在2024年初及之前,我们观察到他们的大多数目标都是金融行业内的组织,特别是与证券和经纪相关的组织。在2024年下半年,他们将目标转向主要位于物流和在线零售行业的组织。最近,我们注意到他们的目标再次转向IT公司、大学和政府组织。

Earth Lamia不断开发定制化的黑客工具和后门以改进其操作。虽然该行为者高度利用开源黑客工具进行攻击,但他们也定制了这些黑客工具以降低被安全软件检测的风险。我们还发现他们开发了一个以前未见过的后门,我们将其命名为PULSEPACK。PULSEPACK的第一个版本在2024年8月Earth Lamia的攻击中被识别。在2025年,我们发现了PULSEPACK的升级版本,该版本使用不同的协议进行C&C通信,表明他们正在积极开发此后门。在本报告中,我们将揭示Earth Lamia操作的细节,并分享对其定制黑客工具和后门的分析。

初始访问和利用后TTP

我们发现Earth Lamia经常进行漏洞扫描,以识别目标网站上可能的SQL注入漏洞。通过识别出的漏洞,行为者尝试通过它打开系统shell以获取对受害者SQL服务器的远程访问。我们怀疑他们可能使用“sqlmap”等工具来对目标进行攻击。除了SQL注入尝试外,我们的遥测数据显示该行为者还在不同的面向公众的服务器上利用了以下漏洞:

  • CVE-2017-9805:Apache Struts2远程代码执行漏洞
  • CVE-2021-22205:GitLab远程代码执行漏洞
  • CVE-2024-9047:WordPress文件上传插件任意文件访问漏洞
  • CVE-2024-27198:JetBrains TeamCity身份验证绕过漏洞
  • CVE-2024-27199:JetBrains TeamCity路径遍历漏洞
  • CVE-2024-51378:CyberPanel远程代码执行漏洞
  • CVE-2024-51567:CyberPanel远程代码执行漏洞
  • CVE-2024-56145:Craft CMS远程代码执行漏洞

最近,Earth Lamia还利用了CVE-2025-31324(SAP NetWeaver Visual Composer未身份验证文件上传漏洞)。报告提到了两个攻击者的IP地址,43[.]247[.]135[.]53和103[.]30[.]76[.]206,我们将这些地址聚类为Earth Lamia的基础设施。(我们在归因部分讨论这些细节。)

成功利用漏洞获取服务器访问权限后,我们在受害者网络内观察到以下横向移动活动:

  • 使用“certutil.exe”或“powershell.exe”从攻击者的机器下载其他工具
  • 将Webshell部署到网站应用程序
  • 使用“GodPotato”和“JuicyPotato”等工具进行权限提升
  • 使用“Fscan”和“Kscan”等工具扫描网络
  • 创建名为“helpdesk”的用户帐户并将其添加到管理员本地组
  • 通过转储LSASS内存或从Windows注册表中提取SAM hive和SYSTEM hive来获取凭据
  • 使用“wevtutil.exe”清理Windows应用程序、系统和安全事件日志
  • 使用“nltest.exe”和“net.exe”收集域控制器信息
  • 使用“rakshasa”和“Stowaway”等工具建立到受害者网络的代理隧道
  • 执行从命令和控制框架生成的后门,包括“Vshell”、“Cobalt Strike”和“Brute Ratel”
  • 使用“schtasks.exe”持久化后门执行

我们还注意到威胁行为者使用SQL注入漏洞执行以下命令。这些命令在目标SQL服务器上创建一个具有管理员权限的新帐户“sysadmin123”。它允许行为者直接访问和窃取受害者数据库。

1
2

CREATE LOGIN sysadmin123 WITH PASSWORD = 'qwe123QWE';
ALTER SERVER ROLE sysadmin ADD MEMBER sysadmin123;

定制化黑客工具

Earth Lamia经常修改开源黑客工具供自己使用。他们从黑客工具中删除不必要的静态字符串,例如帮助或调试消息。一些必要的静态字符串也被混淆。这些定制旨在降低被安全软件检测的机会。例如,我们识别了一个权限提升工具,其在PDB字符串中命名为“BypassBoss”。该工具在Earth Lamia的不同事件中被多次使用。经过我们的分析,我们发现该工具是“Sharp4PrinterNotifyPotato”的修改版本,其原始源代码在一个中文论坛上共享。

此外,我们发现Earth Lamia将其黑客工具打包成DLL文件,通过DLL侧加载启动它们。我们的遥测数据多次显示该行为者执行了合法的可执行文件“AppLaunch.exe”(Microsoft .NET ClickOnce启动实用程序)并带有可疑参数。在一个案例中,我们观察到参数与“Mimikatz”使用的参数相似。

1
2

C:\Users\Public\Downloads\AppLaunch.exe "log C:\Users\Public\Downloads\res.txt"
 "privilege::debug" "sekurlsa::logonpasswords" "exit"

后来,我们能够收集他们的一个DLL样本。DLL文件(SHA256:1d0b246f8d43442ea0eaecde5cfa7fcd8139a9ba93496cd82a8ac056f7393bcf)名为“mscoree.dll”,这是“AppLaunch.exe”加载的库之一。我们发现行为者将“JuicyPotato”的整个二进制文件打包到DLL文件中,并使用“VOIDMAW”(一种开源工具,用于打包恶意代码以绕过内存扫描器)。这允许行为者在合法进程的内存中执行其黑客工具。我们相信行为者采用这些或类似的方法通过DLL侧加载启动其黑客工具。

除此之外,Earth Lamia还通过采用DLL侧加载创建了他们的后门加载器。有趣的是,该行为者更喜欢使用安全供应商提供的合法二进制文件来侧加载其恶意DLL文件。

其他研究人员发现,他们加载器的早期版本之一是开源项目“MemoryEvasion”的修改版,用于加载恶意的Base64编码shellcode。我们发现了他们的Cobalt Strike加载器的扩展版本,该版本使用RC4加密来保护恶意shellcode。

我们还发现了Earth Lamia使用的另一个DLL侧加载加载器,用于执行Brute Ratel shellcode。此加载器改用AES。加载器具有预配置的AES 256字节密钥和初始向量嵌入在二进制中。虽然加载器不直接使用嵌入的密钥进行解密,但它使用SHA256计算256字节密钥的哈希值, resulting in a hash that is also 256 bytes in size. 哈希值是解密存储在有效负载文件“VCRUNTIME140C.dll”中的加密shellcode的密钥。

PULSEPACK后门分析

在2024年8月,我们注意到Earth Lamia开始使用一个以前未见过的后门,我们将其命名为PULSEPACK。PULSEPACK是一个模块化的.NET后门,设计有一个简单的主要可执行文件,仅包含命令和控制(C&C)通信的必要功能。每个恶意功能都开发为单独的插件。插件仅在需要时从C&C服务器加载。在我们发现的PULSEPACK的第一个版本中,它在可执行文件中嵌入了以下配置信息:

  • 默认C&C服务器的IP地址和端口号
  • 获取更新的C&C IP地址和端口号对的URL
  • 用于加密通信的AES密钥和AES IV值

开始时,PULSEPACK检查配置的URL以获取C&C服务器的地址。如果URL的值为空或无法从URL检索C&C地址,后门将使用TCP套接字连接到默认C&C服务器。一旦TCP套接字连接,后门解码嵌入的数据以恢复核心DLL文件,并使用“Assembly.Load”方法在内存中执行它。核心DLL处理C&C命令并启动从C&C服务器交付的插件。最初,它将受害者的信息发送到C&C服务器,包括:

  • 系统版本和用户名
  • 后门进程名称和进程权限
  • 安装的防病毒软件
  • 使用系统和硬件信息计算的哈希值

然后等待C&C服务器交付插件,然后执行。交付的插件是Base64编码并压缩成ZIP格式。核心DLL从交付的数据中恢复插件,并使用“Assembly.Load”方法启动它们。核心DLL从一个名为“Run”的函数作为入口点启动插件。PULSEPACK在使用AES算法加密执行结果后将其发送到C&C服务器。

自2025年3月以来,我们发现Earth Lamia部署了新版本的PULSEPACK。它将C&C通信的协议从TCP套接字更改为WebSocket。此外,新的PULSEPACK也变得 smaller,因为他们将核心DLL从后门中分离出来,并将其作为一个插件,将从C&C服务器加载。一旦后门连接到C&C服务器,服务器发送一条附加有随机UUID作为受害者ID的消息。这些值与井号“#”连接。

1

IsWindows#{UUID}

后门响应一条由给定UUID和嵌入在后门中的标签字符串组成的消息。

1

IsWindowsReturnMessageParam#{UUID}#{Tag}

然后,它交付第一个名为“InitStart.dll”的插件,该插件收集与原始核心DLL相同的受感染机器信息。在这些初始化步骤之后,后门等待从C&C服务器发出的插件执行。

1

GetWinDowsMessage#{UUID}#{C&C URL}#{Plugin (Base64 encoded)}#{Function name}

我们还注意到一个PULSEPACK样本加载了一个名为“TKRun.dll”的插件DLL,该插件用于通过创建计划任务在系统重启后启动可执行文件来持久化后门的执行。不幸的是,我们无法发现PULSEPACK使用的其他插件。我们的遥测数据显示后门进程可以删除文件并创建一个名为“cmd.exe”的子进程,以在受害者机器上执行命令。这表明可能存在更多用于文件删除或远程shell访问目的的插件。

归因

2024年1月,一个被识别为REF0657的入侵集针对南亚的金融服务部门。我们相信这些也是Earth Lamia的活动。我们的遥测数据还显示Earth Lamia在2023年和2024年初针对印度金融组织。本报告中提到的许多攻击策略和黑客工具以及Earth Lamia使用的工具是相同的。此外,我们发现Earth Lamia使用的一个Cobalt Strike样本连接到C&C域“chrome-online[.]site”。发现“chrome-online[.]site”的域证书在“149[.]104[.]23[.]176”上采用,该IP地址已被报告为REF0657使用的IP地址。

2024年8月,发布了一份关于被追踪为STAC6451的Mimic勒索软件活动的报告。该报告指出一些攻击策略与REF0657有关。该报告提到了以下活动,这些活动可能来自Earth Lamia:

  • 攻击期间创建的用户名“helpdesk”和密码“P@ssw0rd”对
  • 使用黑客工具“Sophosx64.exe”,即“GodPotato”工具。我们还发现Earth Lamia的攻击中使用了具有相同文件名的相同工具。
  • 使用开源项目“MemoryEvasion”开发的Cobalt Strike加载器“USERENV.dll”,与我们上面提到的相同,被Earth Lamia使用。

STAC6451报告中提到的一些攻击策略与Earth Lamia的策略非常不同。我们相信STAC6451的报告可能包括来自两个不同入侵集的活动。在我们的研究期间,我们没有看到Earth Lamia使用任何勒索软件。可能是Earth Lamia之前与Mimic勒索软件活动合作,或者他们只是碰巧感染了相同的受害者,因为两者都针对印度的SQL服务器。

2025年1月,一个研究团队报告了他们追踪为CL-STA-0048的间谍活动。他们发现了该活动与中国威胁行为者“DragonRank”和REF0657(即Earth Lamia)之间的联系。我们发现报告中提到的以下活动可能来自Earth Lamia:

  • 从206[.]237[.]0[.]49下载文件的行为,该IP被Earth Lamia使用
  • 使用合法二进制文件“AppLaunch.exe”侧加载Cobalt Strike和黑客工具

我们的研究目前将“DragonRank”和Earth Lamia追踪为两个不同的入侵集。我们没有看到证据表明这两个入侵集有关联或合作。但是,我们不能排除这种可能性。

2025年5月,研究人员分享了他们对多个针对CVE-2025-31324的中国相关APT活动的观察。其中一个提到的活动使用了IP地址43[.]247[.]135[.]53,该地址与Cobalt Strike C&C域“sentinelones[.]com”相关联。该C&C域已归因于CL-STA-0048。我们相信CL-STA-0048的部分活动来自Earth Lamia的操作。但是,我们只有中等置信度将IP地址43[.]247[.]135[.]53和利用行为归因于Earth Lamia,因为该IP地址在2024年和2025年使用期间已经存在时间间隔。

同一报告将另一个IP地址103[.]30[.]76[.]206归因于入侵集UNC5174作为VShell C&C服务器。我们的研究显示,该IP地址目前被Earth Lamia使用,而不是UNC5174,具有高置信度。我们还发现了一个VShell样本(SHA256:bb6ab67ddbb74e7afb82bb063744a91f3fecf5fd0f453a179c0776727f6870c7),该样本与此IP地址通信。此样本与Earth Lamia使用的其他样本相似:

  • 首先,识别的VShell样本被打包为DLL加载器,使用我们提到的相同打包方法使用VOIDMAW
  • 其次,识别的VShell样本具有相同的PDB字符串“C:\Users\qweqw\Downloads\Voidmaw-master\Voidmaw-master\x64\Debug\Dll1.pdb”,我们在Earth Lamia使用的其他样本中也发现了该字符串

最初归因于UNC5174是基于攻击交付了一个名为SNOWLIGHT的VShell stager。据报道,该stager被UNC5174使用。然而,这可能不可靠,因为SNOWLIGHT也是VShell框架中的默认stager之一。使用该框架的任何人都可以生成stager来加载他们的VShell后门。

结论

Earth Lamia正在多个国家和行业进行其操作,具有激进的意图。同时,该威胁行为者通过开发定制黑客工具和新后门不断改进其攻击策略。他们主要通过易受攻击的网站、SQL服务器和面向互联网的系统来瞄准受害者。为了对抗这些威胁,组织必须定期更新和修补其系统,以防止攻击者获得初始访问权限。监控对于检测异常活动至关重要。采用集成强大预防、检测和响应能力的主动安全解决方案将帮助组织显著加强其防御。

使用Trend Vision One™进行主动安全

Trend Vision One™是唯一由AI驱动的企业网络安全平台,集中了网络风险暴露管理、安全操作和强大的分层保护。这种全面方法帮助您预测和预防威胁,加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和Trend Cybertron(行业首个主动网络安全AI),它提供了经过验证的结果:勒索软件风险降低92%,检测时间减少99%。安全领导者可以基准化其态势并向利益相关者展示持续改进。借助Trend Vision One,您能够消除安全盲点,专注于最重要的事情,并将安全提升为创新的战略合作伙伴。

趋势科技™威胁情报

为了领先于不断演变的威胁,趋势客户可以访问Trend Vision One™威胁洞察,该功能提供趋势研究关于新兴威胁和威胁行为者的最新洞察。

Trend Vision One威胁洞察

  • 新兴威胁:Earth Lamia开发定制武器库瞄准多行业目标
  • 威胁行为者:Earth Lamia

Trend Vision One情报报告(IOC扫描)

  • Earth Lamia开发定制武器库瞄准多行业目标

狩猎查询 Trend Vision One搜索

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次