中国APT组织Earth Krahang进行的网络间谍活动

关键要点

Earth Krahang是一个与中国有关的未知高级持续性威胁APT组织，进行了为期两年的网络间谍活动，攻击了23个国家的70个组织，主要是政府机构。该组织通过利用已知漏洞和发送钓鱼邮件，成功植入了前所未见的后门恶意软件。Earth Krahang的攻击主要集中在东南亚，同时也波及美洲、欧洲和非洲的相关机构。

根据Trend Micro的研究人员，这个名为Earth Krahang的APT组织，通过攻击面向公众的服务器，利用已知的安全漏洞，并发送针对性的钓鱼邮件，成功交付了未曾见过的后门恶意软件，已经攻陷了70个组织。这些组织主要为政府实体，分布在23个国家。

研究人员Joseph Chen和Daniel Lunghi在3月18日对该组织的分析中提到，该活动特别集中在东南亚，但也同样侵袭了美洲、欧洲及非洲的机构。

“Earth Krahang滥用国家之间的信任来实施攻击。我们发现该组织经常利用被攻陷的政府网站来托管后门程序，并通过钓鱼邮件向其他政府实体发送下载链接，”研究人员表示。

外交机构成为Earth Krahang的主要目标

Trend Micro获取了Earth Krahang活动的日志，显示该组织至少攻击了35个国家的116个机构，尽管只有70个受害者已被确认受到侵害。被攻陷的48个实体为政府机构，另有49个政府实体受到目标锁定。该组织特别专注于外交事务部和相关机构，共攻陷了10个此类组织，另有5个被锁定为目标。

研究人员指出，该威胁组织利用其获得的政府基础设施访问权限，攻击其他政府实体。它们使用劫持的服务器托管恶意负载，代理攻击流量，并使用被攻陷的政府邮箱账户向政府相关目标发送钓鱼邮件。

Earth Krahang还采用了其他策略，例如在被攻陷的面向公众的服务器上建立VPN服务器，以进入受害者的私有网络，并执行暴力破解攻击以获得电子邮件凭证。

“这些凭证会被用于提取受害者的电子邮件，该组织的最终目标是网络间谍活动，”研究人员表示。

Earth Krahang与其他中国威胁组织的联系

Earth Krahang这个名字是因为研究人员发现与Earth Lusca之间存在IP地址、域名及指挥控制基础设施的交集，后者是他们去年发现的一个中国网络间谍行动。

Trend Micro对Earth Lusca的早期研究表明，它可能是我国上海的ISoon科技公司后方的渗透团队，该公司是最近一个重大情报泄露事件的中心。发布在GitHub上的文件将ISoon与中国不同政府机构委托的网络间谍活动关联在一起。

免费NPV加速器

“利用这些泄露的信息，我们发现该公司将渗透团队组织成两个不同的子组。这可能就是我们看到两个独立活动集群在实际行动中活跃但关联有限的原因。Earth Krahang可能是该公司旗下的另一个渗透团队。” Chen和Lunghi说道。