وتعتمد الهجمات بشكل رئيسي على ثغرات حقن SQL المكتشفة في التطبيقات الإلكترونية للوصول إلى خوادم SQL الخاصة بالمؤسسات المستهدفة، كما يستغل المهاجمون ثغرات أمنية معروفة لتنفيذ هجماتهم على الخوادم العامة المتصلة بالإنترنت.

وتشمل الدول المستهدفة إندونيسيا، ماليزيا، الفلبين، تايلاند، وفيتنام ، وفقًا لمتخصص الأمن السيبراني جوزيف تشين من شركة Trend Micro.

المجموعات السيبرانية المرتبطة:

تُعرف هذه الأنشطة بـ Earth Lamia وتتشابه مع عمليات موثقة من قبل فرق أمنية أخرى مثل REF0657 (Elastic Security Labs) ، STAC6451 (Sophos) ، و CL-STA-0048 (Palo Alto Networks Unit 42).
وقد استهدفت هذه الهجمات العديد من القطاعات في جنوب آسيا ، مستغلة خوادم SQL المكشوفة للإنترنت لتنفيذ استطلاع إلكتروني، ونشر أدوات الاختراق مثل Cobalt Strike وSupershell ، وإنشاء أنفاق بروكسي باستخدام Rakshasa وStowaway.

الثغرات الأمنية المستغلة:

من بين الثغرات التي استغلتها المجموعة في هجماتها على الخوادم العامة:
– CVE-2017-9805 – ثغرة تنفيذ التعليمات البرمجية عن بُعد في Apache Struts2.
– CVE-2021-22205 – ثغرة تنفيذ التعليمات البرمجية عن بُعد في GitLab.
– CVE-2024-9047 – ثغرة الوصول العشوائي للملفات في إضافة WordPress File Upload.
– CVE-2024-27198 & CVE-2024-27199 – ثغرات تجاوز المصادقة والتنقل غير المصرح به في JetBrains TeamCity.
– CVE-2024-51378 & CVE-2024-51567 – ثغرات تنفيذ التعليمات البرمجية عن بُعد في CyberPanel.
– CVE-2024-56145 – ثغرة تنفيذ التعليمات البرمجية عن بُعد في Craft CMS.

تحليل النشاط السيبراني:

بدأت المجموعة باستهداف شركات الخدمات المالية ، قبل أن تتحول لاحقًا إلى شركات اللوجستيات والتجارة الإلكترونية.
ومؤخرًا، تحول تركيزها إلى شركات تقنية المعلومات، الجامعات، والهيئات الحكومية ، وفقًا لتقرير Trend Micro.