Earth Lusca

APT / EstatalG1006
OrigemChina
Técnicas (MITRE ATT&CK)44
FonteMITRE ATT&CK
Também conhecido como:TAG-22Charcoal TyphoonCHROMIUMControlX

Análise Vexday

Earth Lusca é um grupo de espionagem cibernética de origem chinesa, ativo desde pelo menos abril de 2019 e rastreado pela MITRE ATT&CK sob o identificador G1006, sendo também conhecido pelos aliases TAG-22, Charcoal Typhoon, CHROMIUM e ControlX. O grupo tem como alvos organizações governamentais, veículos de mídia, empresas de telecomunicações, instituições educacionais, plataformas de negociação de criptomoedas e movimentos religiosos proscritos na China, entre outros setores, com atuação documentada em múltiplos países da Ásia-Pacífico, Europa, África e América do Norte. Ao grupo são atribuídas 4 CVEs conhecidas por exploração ativa e 44 técnicas documentadas no framework MITRE ATT&CK.

Técnicas (MITRE ATT&CK) 44

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento
Vulnerability Scanning
Preparação de recursos
DomainsServerWeb ServicesServerWeb ServicesMalwareToolUpload Malware
Acesso inicial
Drive-by CompromiseExploit Public-Facing ApplicationSpearphishing Link
Execução
Windows Management InstrumentationScheduled TaskPowerShellVisual BasicPythonJavaScriptMalicious LinkMalicious File
Persistência
SSH Authorized KeysWindows ServicePrint Processors
Escalada de privilégio
Bypass User Account Control
Acesso a credenciais
LSASS MemoryDCSync
Descoberta
System Service DiscoverySystem Network Configuration DiscoveryRemote System DiscoverySystem Owner/User DiscoverySystem Network Connections DiscoveryProcess DiscoveryDomain Trust Discovery
Movimento lateral
Exploitation of Remote Services
Coleta
Archive via Utility
Comando e controle
Proxy
Exfiltração
Exfiltration to Cloud Storage
defense-impairment
Modify Registry
stealth
Obfuscated Files or InformationSteganographyMatch Legitimate Resource Name or LocationDeobfuscate/Decode Files or InformationMshtaDLL

Vulnerabilidades exploradas 4

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2014-7169CRITICALEPSS 100%KEVCVE-2020-1472MEDIUMEPSS 100%KEVCVE-2016-6662EPSS 68%CVE-2017-0176EPSS 46%

O grupo Earth Lusca usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →