研究人员提及,这些骇客广泛锁定许多企业组织,但同时间只会对特定行业下手,根据骇客针对的对象,大致可分成几个时期,从2023年至2024年初,他们主要的目标是金融业,尤其是与证券和金融经纪公司;到了2024年下半,他们将目标转向物流与网路零售业;直到最近,骇客将目标转向IT公司、大学、政府机关。
虽然Earth Lamia高度使用可公开取得的工具从事攻击,但他们也不断开发自己的工具Pulsepack、BypassBoss。其中Pulsepack约从去年8月出现,今年骇客改用升级版本,最大的差异就是更换C2通讯的做法,这代表骇客积极开发这个后门程式。
针对骇客的攻击流程,这些骇客经常透过扫描找出目标网站的SQL注入漏洞,一旦找到漏洞,他们就会试图开启系统的Shell,从而得到SQL Server的远端存取管道。但除了试图利用SQL注入手法,骇客也使用已知漏洞来攻击其他应用程式伺服器。
除了前述提及的CVE-2025-31324,这些漏洞包含:Apache Struts2漏洞CVE-2017-9805、Craft CMS漏洞CVE-2024-56145、CyberPanel漏洞CVE-2024-51378与CVE-2024-51567、GitLab漏洞CVE-2021-22205、JetBrains TeamCity漏洞CVE-2024-27198与CVE-2024-27199,以及WordPress档案上传外挂漏洞CVE-2024-9047,这些漏洞大部分涉及远端程式码执行(RCE),但也有任意档案存取、身分验证绕过、路径穿越弱点。
一旦成功入侵受害伺服器,这些骇客就会从事一系列的行为,于受害组织的网路环境进行横向移动。这些行为包含利用Certutil及PowerShell下载作案工具、在网页应用程式伺服器植入Web Shell、使用GodPotato或JuicyPotato等工具提升权限,以及利用Fscan及Kscan等工具扫描网路环境等。
另一方面,这些骇客还会建立名为helpdesk的使用者帐号,并加入管理员群组,透过LSASS或是特定的机码截取帐密资料,并使用公用程式nltest.exe、net.exe收集网域控制器的资讯。
而对于建立对外通讯的部分,骇客使用rakshasa与Stowaway建立代理伺服器隧道,使用Vshell、Cobalt Strike、Brute Ratel等渗透测试工具产生后门程式,并透过schtasks.exe维持后门的运作。
附带一提,若是Earth Lamia成功利用SQL注入漏洞,就会建立具有管理员权限的帐号sysadmin123。