一個被追蹤為Earth Lusca的復(fù)雜難以捉摸的威脅行為者出于財務(wù)目的，通過魚叉式網(wǎng)絡(luò)釣魚和水坑攻擊將全球政府和私人組織作為目標(biāo)。

據(jù)安全公司稱，該組織出于經(jīng)濟(jì)動機(jī)，其網(wǎng)絡(luò)間諜活動打擊了高價值目標(biāo)，例如政府和教育機(jī)構(gòu)、宗教運動、新型冠狀病毒研究組織、賭博、加密貨幣公司和媒體。

Winnti組織于2013年首次被卡巴斯基發(fā)現(xiàn)，但據(jù)研究人員稱，該組織自2007年以來一直活躍。專家們認(rèn)為，在 Winnti 旗下有幾個APT 組，包括 Winnti、Gref、PlayfullDragon、APT17、 DeputyDog、Axiom、 BARIUM、LEAD、 PassCV、Wicked Panda、Group 72、Blackfly、APT41 和 ShadowPad。

APT小組針對各個行業(yè)的組織，包括航空、游戲、制藥、技術(shù)、電信和軟件開發(fā)行業(yè)。研究人員將地球盧斯卡的基礎(chǔ)設(shè)施分為兩個“集群”。第一個集群是使用租用的虛擬專用服務(wù)器 (VPS) 建立的，用于水坑和魚叉式網(wǎng)絡(luò)釣魚攻擊。

第二個集群由運行易受攻擊版本的 Oracle GlassFish Server 的受感染服務(wù)器組成，主要用于掃描面向公眾的服務(wù)器中的漏洞，并在目標(biāo)網(wǎng)絡(luò)內(nèi)建立流量隧道。兩個集群都充當(dāng) C&C 服務(wù)器。

根據(jù)遙測數(shù)據(jù)顯示，Earth Lusca 發(fā)送魚叉式網(wǎng)絡(luò)釣魚電子郵件，其中包含指向其目標(biāo)媒體公司的惡意鏈接。這些鏈接包含的文件偽裝成潛在目標(biāo)可能感興趣的文件，或者偽裝成據(jù)稱來自另一家媒體組織的意見表。閱讀趨勢科技發(fā)布的分析。用戶最終會下載一個包含惡意 LNK 文件或可執(zhí)行文件的存檔文件——最終導(dǎo)致 Cobalt Strike 加載程序。

觀察到威脅參與者在受感染的網(wǎng)絡(luò)中部署了Cobalt Strike，以及一組額外的惡意軟件和 Web Shell。該組織還在其運營中使用了其他工具，例如加密貨幣礦工。

在研究人員分析的其中一次攻擊中，威脅參與者將惡意腳本注入目標(biāo)組織的受感染人力資源系統(tǒng)中。該腳本顯示社交工程消息，例如 Flash 更新彈出窗口或 DNS 錯誤，并嘗試誘騙受害者下載惡意文件并部署 Cobalt Strike 加載程序。

有證據(jù)表明，地球盧斯卡是一個高技能和危險的威脅行為者，主要受網(wǎng)絡(luò)間諜活動和經(jīng)濟(jì)利益的驅(qū)使。然而，該組織仍然主要依靠久經(jīng)考驗的技術(shù)來誘捕目標(biāo)，雖然這有其優(yōu)勢(這些技術(shù)已被證明是有效的)，但它也意味著安全最佳實踐，例如避免點擊可疑的電子郵件/網(wǎng)站鏈接和更新重要的面向公眾的應(yīng)用程序，可以最大限度地減少影響——甚至停止——地球盧斯卡襲擊。