Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Зловещая активность Earth Lamia раскрыта

1 мин
Изображение: recraft Компания Trend Micro опубликовала расследование, посвящённое деятельности хак-группировки Earth Lamia, которую связывают с Китаем. С 2023 года она активно использует уязвимости в продуктах SAP и Microsoft SQL Server для атак на организации в Бразилии, Индии и странах Юго-Восточной Азии. Исследователи установили, что злоумышленники используют уязвимости SQL-инъекций в веб-приложениях для проникновения во внутреннюю инфраструктуру жертв. Особый интерес у нападающих вызывают доступные извне SQL-серверы, которые они используют как стартовую точку для разведки, эскалации прав и дальнейшего распространения. Атаки охватывают целый ряд стран — Индонезию, Малайзию, Таиланд, Вьетнам и Филиппины. Сама группировка отслеживается под обозначением Earth Lamia, и её активность частично совпадает с известными кластерами REF0657 (Elastic), STAC6451 (Sophos) и CL-STA-0048 (Palo Alto Networks). Earth Lamia применяет широкий арсенал инструментов, включая: В ряде случаев, особенно при а

Изображение: recraft

Компания Trend Micro опубликовала расследование, посвящённое деятельности хак-группировки Earth Lamia, которую связывают с Китаем. С 2023 года она активно использует уязвимости в продуктах SAP и Microsoft SQL Server для атак на организации в Бразилии, Индии и странах Юго-Восточной Азии.

Исследователи установили, что злоумышленники используют уязвимости SQL-инъекций в веб-приложениях для проникновения во внутреннюю инфраструктуру жертв. Особый интерес у нападающих вызывают доступные извне SQL-серверы, которые они используют как стартовую точку для разведки, эскалации прав и дальнейшего распространения.

Атаки охватывают целый ряд стран — Индонезию, Малайзию, Таиланд, Вьетнам и Филиппины. Сама группировка отслеживается под обозначением Earth Lamia, и её активность частично совпадает с известными кластерами REF0657 (Elastic), STAC6451 (Sophos) и CL-STA-0048 (Palo Alto Networks).

Earth Lamia применяет широкий арсенал инструментов, включая:

  • фреймворки Cobalt Strike и Supershell для закрепления в сети;
  • утилиты проксирования Rakshasa и Stowaway для скрытого управления;
  • эксплойты повышения привилегий GodPotato и JuicyPotato;
  • сетевые сканеры Fscan и Kscan;
  • системные средства Windows, например wevtutil.exe, для зачистки логов.

В ряде случаев, особенно при атаках на индийские компании, злоумышленники пытались применить шифровальщик Mimic, однако чаще всего запуск был неудачным. В некоторых инцидентах они удаляли вредоносные файлы после неудачи, что может указывать на ограниченный доступ или ошибки в реализации.

Кроме того, в начале мая 2025 года аналитики EclecticIQ сообщили, что Earth Lamia (под кластером CL-STA-0048) использовала критическую уязвимость CVE-2025-31324 в SAP NetWeaver. Этот баг позволял выполнять неаутентифицированную загрузку файлов, что использовалось для создания обратного шелла и получения удалённого доступа к сетям жертв.

Оригинал публикации на сайте CISOCLUB: "Trend Micro: китайская группировка Earth Lamia использует уязвимости SAP и SQL Server для атак на организации в Азии и Бразилии".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.