Selon un rapport de Trend Research, Earth Lamia est un acteur de menace APT qui exploite des vulnérabilités dans les applications web pour accéder aux organisations, notamment en Asie du Sud-Est, en Inde et au Brésil. Depuis 2023, ce groupe a évolué dans ses cibles, passant des services financiers à la logistique, au commerce en ligne, et plus récemment aux entreprises IT, aux universités et aux organisations gouvernementales.

Earth Lamia utilise des techniques de détection et d’exfiltration de données sophistiquées, développant et personnalisant des outils de piratage pour éviter la détection, tels que PULSEPACK et BypassBoss. Le groupe exploite principalement les vulnérabilités SQL des applications web pour accéder aux serveurs SQL des organisations ciblées.

Les méthodes d’accès initial et de post-exploitation incluent l’utilisation d’outils comme sqlmap pour exploiter les vulnérabilités SQL. Earth Lamia a également été observé exploitant plusieurs vulnérabilités connues sur des serveurs exposés au public, telles que :

  • CVE-2017-9805 : Vulnérabilité d’exécution de code à distance Apache Struts2
  • CVE-2021-22205 : Vulnérabilité d’exécution de code à distance GitLab
  • CVE-2024-9047 : Vulnérabilité d’accès arbitraire aux fichiers du plugin WordPress File Upload
  • Et d’autres vulnérabilités affectant JetBrains TeamCity, CyberPanel, et Craft CMS.

Ce rapport de recherche vise à fournir une analyse technique détaillée des opérations d’Earth Lamia, en révélant leurs outils personnalisés et les vulnérabilités exploitées, tout en offrant des informations pour aider à la détection et à la prévention de ces menaces.

🧠 TTP et IOC détecté

TTP

[‘Exploitation des vulnérabilités dans les applications web’, ‘Exfiltration de données’, “Développement et personnalisation d’outils de piratage”, ‘Exploitation des vulnérabilités SQL’, “Utilisation d’outils comme sqlmap”, ‘Exploitation de vulnérabilités connues (CVE-2017-9805, CVE-2021-22205, CVE-2024-9047)’]

🔗 Source originale : https://www.trendmicro.com/en_us/research/25/e/earth-lamia.html

🖴 Archive : https://web.archive.org/web/20250601151925/https://www.trendmicro.com/en_us/research/25/e/earth-lamia.html