趋势科技：Earth Lamia 开发定制武器库，瞄准多个行业

据趋势科技报道，一个威胁组织利用网络应用程序中的已知漏洞，攻击全球多个目标。

该黑客组织至少自 2023 年开始活跃，被追踪为Earth Lamia，其目标一直是金融、政府、IT、物流、零售和教育领域，该组织在不同时间段只关注特定行业。

趋势科技称，该威胁组织非常活跃，它利用各种面向公众的资产中的已知安全缺陷，但主要针对 Web 应用程序中的 SQL 注入漏洞。

被利用的漏洞包括CVE-2017-9805（Apache Struts）、CVE-2021-22205（GitLab）、CVE-2024-9047（WordPress）、CVE-2024-27198 和 CVE-2024-27199（TeamCity）、CVE-2024-51378 和CVE-2024-51567（CyberPanel）、CVE-2024-56145（Craft CMS）以及最近的CVE-2025-31324（SAP NetWeaver）。

初次访问后，Earth Lamia 被发现投放了其他工具、部署了 webshell、提升了权限、创建了管理员帐户、提取了凭据、扫描网络、设置了代理隧道、执行了后门并实现了持久性。

此外，攻击还会利用 SQL 注入漏洞在目标 SQL 服务器上创建一个新的“sysadmin123”帐户，获取直接访问和窃取受害者数据的管理权限。

趋势科技发现该威胁组织使用合法实用程序、BypassBoss、开源工具和自定义加载器将恶意 DLL 侧载到安全应用程序中，以执行 Cobalt Strike 和 Brute Ratel shellcode。

DLL 侧加载流程以启动后门

该黑客组织部署了一个名为 Pulsepack 的模块化 .NET 后门，可在需要时从其命令与控制 (C&C) 服务器加载插件。核心可执行文件只能与 C&C 通信，但每个插件都会扩展其功能。

趋势科技指出，“Earth Lamia 正在多个国家和行业开展活动，意图进行攻击。与此同时，该威胁组织不断开发定制黑客工具和新后门，改进其攻击策略。”

技术报告：

https://www.trendmicro.com/en_us/research/25/e/earth-lamia.html

新闻链接：

https://www.securityweek.com/chinese-hacking-group-earth-lamia-targets-multiple-industries/