Одна атака — восемь эксплойтов. Earth Lamia играет в долгую, и всегда доводит дело до конца.
NewsMakerMimic, Supershell, JuicyPotato: знакомые инструменты в руках новой группировки.
Кибергруппировка, связанная с Китаем, развернула масштабную волну атак на организации в Азии и Бразилии, используя уязвимости в SAP NetWeaver, Microsoft SQL Server и ряде других популярных сервисов. По данным Trend Micro, речь идёт о коллективе Earth Lamia, который с 2023 года охотится за целями в Бразилии, Индии и Юго-Восточной Азии, включая Индонезию, Малайзию, Филиппины, Таиланд и Вьетнам.
Атаки начинаются с поиска SQL-инъекций в веб-приложениях, что позволяет злоумышленникам проникать во внутренние базы данных жертв. Дополнительно используются уязвимости публичных серверов: в арсенале Earth Lamia замечены восемь различных эксплойтов, среди которых критические дыры в Apache Struts2 ( CVE-2017-9805 ), GitLab ( CVE-2021-22205 ), WordPress File Upload ( CVE-2024-9047 ), JetBrains TeamCity ( CVE-2024-27198 ), CyberPanel ( CVE-2024-51378 и CVE-2024-51567 ) и Craft CMS ( CVE-2024-56145 ). Особенно выделяется CVE-2025-31324 — свежая уязвимость SAP NetWeaver, открывающая атакующим путь к удалённому управлению сервером через загрузку вредоносных файлов.
В зависимости от выбранной жертвы группа применяет широкий набор инструментов: для повышения привилегий используются GodPotato и JuicyPotato, для сканирования инфраструктуры — Fscan и Kscan, а для сокрытия следов — штатные средства Windows, такие как «wevtutil.exe», очищающие журналы событий. Часто атакующие развёртывают постэксплуатационные фреймворки Cobalt Strike и Supershell, а также создают прокси-туннели через Rakshasa и Stowaway.
Некоторые кампании в Индии сопровождались попытками внедрения шифровальщика Mimic , однако добиться массового шифрования файлов преступникам не удалось — в ряде случаев они даже удаляли свои бинарные файлы после неудачных запусков.
По наблюдениям специалистов, активность Earth Lamia постоянно эволюционирует. Изначально группа делала ставку на финансовый сектор — в частности, брокерские и инвестиционные компании. Однако во втором полугодии 2024 года её фокус сместился на логистику и онлайн-ритейл, а сейчас главными мишенями становятся ИТ-компании, университеты и государственные учреждения.
Характерная черта Earth Lamia — внедрение собственных бэкдоров семейства PULSEPACK с помощью DLL Sideloading — популярной среди китайских группировок техники. Сам бэкдор написан на .NET , его функциональность расширяется за счёт подгружаемых плагинов, а коммуникация с управляющим сервером в последних версиях перешла с TCP на WebSocket, что говорит о постоянном развитии вредоносного инструмента.
Аналитики отмечают, что Earth Lamia активно меняет тактики и инструменты, совершенствует собственные вредоносные программы и продолжает охоту за новыми жертвами в разных странах и отраслях.
Кибергруппировка, связанная с Китаем, развернула масштабную волну атак на организации в Азии и Бразилии, используя уязвимости в SAP NetWeaver, Microsoft SQL Server и ряде других популярных сервисов. По данным Trend Micro, речь идёт о коллективе Earth Lamia, который с 2023 года охотится за целями в Бразилии, Индии и Юго-Восточной Азии, включая Индонезию, Малайзию, Филиппины, Таиланд и Вьетнам.
Атаки начинаются с поиска SQL-инъекций в веб-приложениях, что позволяет злоумышленникам проникать во внутренние базы данных жертв. Дополнительно используются уязвимости публичных серверов: в арсенале Earth Lamia замечены восемь различных эксплойтов, среди которых критические дыры в Apache Struts2 ( CVE-2017-9805 ), GitLab ( CVE-2021-22205 ), WordPress File Upload ( CVE-2024-9047 ), JetBrains TeamCity ( CVE-2024-27198 ), CyberPanel ( CVE-2024-51378 и CVE-2024-51567 ) и Craft CMS ( CVE-2024-56145 ). Особенно выделяется CVE-2025-31324 — свежая уязвимость SAP NetWeaver, открывающая атакующим путь к удалённому управлению сервером через загрузку вредоносных файлов.
В зависимости от выбранной жертвы группа применяет широкий набор инструментов: для повышения привилегий используются GodPotato и JuicyPotato, для сканирования инфраструктуры — Fscan и Kscan, а для сокрытия следов — штатные средства Windows, такие как «wevtutil.exe», очищающие журналы событий. Часто атакующие развёртывают постэксплуатационные фреймворки Cobalt Strike и Supershell, а также создают прокси-туннели через Rakshasa и Stowaway.
Некоторые кампании в Индии сопровождались попытками внедрения шифровальщика Mimic , однако добиться массового шифрования файлов преступникам не удалось — в ряде случаев они даже удаляли свои бинарные файлы после неудачных запусков.
По наблюдениям специалистов, активность Earth Lamia постоянно эволюционирует. Изначально группа делала ставку на финансовый сектор — в частности, брокерские и инвестиционные компании. Однако во втором полугодии 2024 года её фокус сместился на логистику и онлайн-ритейл, а сейчас главными мишенями становятся ИТ-компании, университеты и государственные учреждения.
Характерная черта Earth Lamia — внедрение собственных бэкдоров семейства PULSEPACK с помощью DLL Sideloading — популярной среди китайских группировок техники. Сам бэкдор написан на .NET , его функциональность расширяется за счёт подгружаемых плагинов, а коммуникация с управляющим сервером в последних версиях перешла с TCP на WebSocket, что говорит о постоянном развитии вредоносного инструмента.
Аналитики отмечают, что Earth Lamia активно меняет тактики и инструменты, совершенствует собственные вредоносные программы и продолжает охоту за новыми жертвами в разных странах и отраслях.