Az Earth Baku legújabb kampánya
Az Earth Baku, egy APT (fejlett tartós fenyegetés) csoport, amely 2022 végétől kezdve kiterjesztette tevékenységét Európára, a Közel-Keletre és Afrikára (MEA). A csoport az újabb kampányokban frissítette eszközeit, taktikáit és eljárásait (TTP-k), és a támadások belépési pontjaként nyilvános alkalmazásokat, például IIS-szervereket használ, majd kifinomult malware eszközkészleteket telepítenek az áldozat környezetébe, köztük a StealthVector és StealthReacher betöltőket, valamint a SneakCross moduláris backdoor-t.
Az Earth Baku korábbi kampányaikkal kezdetben az Indo-csendes-óceáni régiót célozta meg, majd elkezdte kiterjeszteni jelenlétét Európára, a Közel-Keletre és Afrikára, amely olyan országokat foglal magában, mint Olaszország, Németország, az Egyesült Arab Emírségek és Katar. A Trend Micro kutatói megfigyelték a csoport infrastruktúrájához Grúziából származó kapcsolatokat, valamint több, Romániából feltöltött rosszindulatú szoftvereszközkészletet is.
Az Earth Baku csoport legutóbbi műveletei során a nyilvános alkalmazásokat, különösen az IIS szervereket használták ki a támadások belépési pontjaként. Miután az elkövetők hozzáférést szereztek, telepítik a Godzilla webshellt, amely lehetővé teszi számukra, hogy fenntartsák az ellenőrzést a megtámadott szerver felett. A Godzilla segítségével az Earth Baku ezután képes telepíteni a StealthVector nevű shellcode betöltőt és annak backdoor komponenseit, a Cobalt Strike-ot, valamint egy új backdoor-t, a SneakCross-t. A post-exploitation szakaszban az Earth Baku megpróbál reverse tunnelt építeni, hogy nyilvánosan elérhető eszközök segítségével fenntartsa az irányítási hozzáférést. Az Earth Baku a MEGAcmd eszközt is telepíti az áldozat környezetébe, valószínűleg adatszivárogtatás céljából.