En kinesisk statssponsoreret hackergruppe er dukket op igen og lancerer en ny kampagne rettet mod regerings-, sundheds-, teknologi- og produktionsorganisationer i Taiwan, Thailand, Filippinerne og Fiji efter en periode på mere end seks måneders inaktivitet.
Ifølge cybersikkerhedsfirmaet Trend Micro er gruppen, der er ansvarlig for angrebene, kendt som Earth Longzhi, en undergruppe inden for APT41 (også omtalt som HOODOO eller Winnti). Earth Longzhi deler ligheder med andre klynger såsom Earth Baku, SparklingGoblin og GroupCC.
I november 2022 dokumenterede Trend Micro for første gang Earth Longzhi og dens angreb på forskellige organisationer i Øst- og Sydøstasien samt Ukraine. Gruppen implementerer BEHINDER web-shell ved at udnytte sårbare offentligt vendte applikationer som indgangspunkter i deres angrebskæder. Denne indledende adgang bruges derefter til at implementere yderligere nyttelaster, inklusive en ny variant af en Cobalt Strike-loader kaldet CroxLoader.
I deres seneste kampagne misbruger Earth Longzhi en Windows Defender-eksekverbar fil til at udføre DLL-sideloading. Derudover udnytter de en sårbar driver ved navn zamguard.sys til at deaktivere sikkerhedsprodukter på målrettede værter ved hjælp af en teknik kaldet bring your own vulnerable driver (BYOVD) angreb. Trend Micro bemærkede, at det ikke er første gang, Earth Longzhi har brugt BYOVD-teknikken, da tidligere kampagner brugte den sårbare RTCore64.sys-driver til at begrænse udførelsen af sikkerhedsprodukter.
Den malware, der bruges i disse angreb, kaldet SPHijacker, anvender en teknik kaldet "stack rumbling" for at forstyrre udførelsen af målrettede applikationer. Det opnås ved at foretage ændringer i Windows-registreringsdatabasen, afbryde procesudførelsesflowet og få programmerne til at gå ned ved lancering. Trend Micro forklarede, at denne teknik er en form for denial-of-service-angreb, der misbruger visse værdier i registreringsdatabasenøglen, der er forbundet med procesudførelse.
Earth Longzhis taktik involverer også brugen af en kodeindsprøjtningsteknik kaldet Dirty Vanity, som udnytter den eksterne gaffelmekanisme i Windows til at omgå slutpunktsdetektionssystemer. Drivernyttelasten installeres som en tjeneste på kerneniveau ved hjælp af Microsoft Remote Procedure Call (RPC) i stedet for Windows API'er for at undgå registrering.
Desuden har angrebene en DLL-baseret dropper kaldet Roxwrapper, som leverer en anden Cobalt Strike-loader ved navn BigpipeLoader. Trusselsaktøren anvender også et privilegieeskaleringsværktøj (dwm.exe), der misbruger Windows Task Scheduler til at starte en nyttelast med SYSTEM-rettigheder. Den angivne filtype, dllhost.exe, fungerer som en downloader, der er i stand til at hente yderligere malware fra en server, der kontrolleres af trusselsaktøren.
Trend Micro bemærkede også tilstedeværelsen af lokkedokumenter skrevet på vietnamesisk og indonesisk, hvilket tyder på potentiel fremtidig målretning af brugere i disse lande.
Ifølge sikkerhedsforskere hos Trend Micro forbliver Earth Longzhi aktiv og fortsætter med at forbedre sine taktikker, teknikker og procedurer (TTP'er). Organisationer rådes til at forblive på vagt over for den igangværende udvikling af nye snigende ordninger ansat af cyberkriminelle.