In der heutigen vernetzten Welt stellen Cyberangriffe eine der größten Bedrohungen für Unternehmen und Institutionen weltweit dar. Besonders auffällig sind aktuell Angriffe einer China-gebundenen Hackergruppe, die sich auf die Ausnutzung von Schwachstellen in SAP NetWeaver und Microsoft SQL Server konzentriert. Diese Gruppe, die von Sicherheitsexperten unter dem Namen Earth Lamia verfolgt wird, hat sich seit 2023 zunehmend in verschiedenen Regionen, darunter Asien und Brasilien, ausgebreitet und richtet ihre Angriffe gegen unterschiedlichste Branchen und Organisationen. Die besagte Hackergruppe nutzt vorrangig SQL-Injection-Schwachstellen in Webanwendungen aus, um sich Zugang zu den SQL-Servern der Zielorganisationen zu verschaffen. SQL-Injection bleibt eine der effektivsten Methoden, um in Systeme einzudringen, da sie es Angreifern erlaubt, Datenbanken mit manipulierten Anfragen zu beeinflussen und so vertrauliche Informationen abzurufen oder schädlichen Code einzuschleusen.
Neben diesen Angriffen auf Datenbanken verwenden die Hacker diverse bekannte Sicherheitslücken in öffentlich zugänglichen Servern, um ihre Präsenz und Kontrolle über die Infrastruktur zu sichern. Besonders betroffen sind Länder wie Brasilien, Indien, Indonesien, Malaysia, die Philippinen, Thailand und Vietnam. Diese Länder bilden ein weites Einsatzgebiet, das vor allem aufgrund der dortigen wirtschaftlichen Bedeutung und der wachsenden Digitalisierung attraktiv für Cyberkriminelle ist. Innerhalb der Zielsektoren änderten sich die Prioritäten der Angreifer stetig. Anfangs lag der Fokus vor allem auf dem Finanzsektor, insbesondere in den Bereichen Wertpapiere und Brokerage.
Im Verlauf von 2024 verschob sich der Schwerpunkt dann auf Logistikunternehmen und den Online-Handel, bevor zuletzt IT-Unternehmen, Universitäten und Regierungsorganisationen ins Visier genommen wurden. Trend Micro, ein führendes Unternehmen im Bereich Cybersicherheit, beobachtet diese Gruppe nicht nur aufgrund ihrer ausgeklügelten Taktiken, sondern auch wegen ihrer fortlaufenden Weiterentwicklung von Angriffsmethoden und maßgeschneiderten Malware. Eines der charakteristischen Merkmale von Earth Lamia ist die Nutzung eines modularen .NET-basierten Implantats namens PULSEPACK, das mittels DLL Side-Loading in die Systeme eingeschleust wird. Dieses Verfahren ist unter chinesischen Hackergruppen weit verbreitet, da es das Umgehen von Sicherheitsmechanismen erleichtert.
PULSEPACK kommuniziert über einen Kommando- und Kontrollserver (C2), der in jüngster Zeit von TCP auf WebSocket umgestellt wurde, was auf aktive Weiterentwicklung und Optimierung des Backdoors hinweist. Neben der Nutzung von PULSEPACK greifen die Angreifer auch auf eine Vielzahl weiterer Tools zurück, die für Post-Exploitation-Maßnahmen eingesetzt werden. Dazu gehören bekannte Werkzeuge wie Cobalt Strike, das häufig für Bewegung innerhalb des Netzwerks und zur Vorbereitung vor weiterer Schadsoftware verwendet wird, oder Supershell, ein minimalistisches Werkzeug zur Ausführung von Befehlen auf infizierten Systemen. Zudem kommen Proxy-Tunnel zum Einsatz, wie Rakshasa und Stowaway, die es den Cyberkriminellen ermöglichen, ihre Aktivitäten über verschlüsselte Verbindungen zu verbergen und den Zugriff auf das Zielsystem aufrechtzuerhalten. Darüber hinaus werden Privilegienausweitungstools wie GodPotato und JuicyPotato benutzt, um Administratorrechte zu erlangen und damit tiefere Kontrolle über infizierte Systeme zu erlangen.
Netzwerkscan-Tools wie Fscan und Kscan dienen der Erkundung und Identifikation weiterer Verwundbarkeiten, um sich lateral im Netzwerk auszubreiten. Um ihre Spuren zu verwischen, setzen die Hacker legitime Windows-Programme wie wevtutil.exe ein, um sicherheitsrelevante Event-Logs zu löschen. Eine interessante Beobachtung ist der Versuch, Mimic-Ransomware in indischen Netzwerken einzusetzen, die jedoch oft nicht erfolgreich ausgeführt wird. In mehreren Fällen versuchten die Angreifer sogar, die Ransomware-Binaries nach dem Einsatz wieder zu entfernen, was darauf hinweisen könnte, dass der primäre Fokus auf Spionage und Zugangssicherung liegt und nicht auf der Erpressung der Opfer.
Die Hackergruppe hat nicht nur Microsoft SQL Server und SAP NetWeaver als Angriffspunkte identifiziert, sondern auch eine breite Palette weiterer kritischer Schwachstellen in Webanwendungen und Server-Software für ihre Angriffe verwendet. Dazu gehören Sicherheitslücken in Apache Struts2, GitLab, WordPress-Plugins, JetBrains TeamCity sowie CyberPanel und Craft CMS. Die Ausnutzung dieser CVEs ermöglicht es den Angreifern, Remote Code Execution zu erlangen, Authentifizierungsmechanismen zu umgehen oder Arbiträre Dateizugriffe durchzuführen – alles hochgefährliche Schwachstellen, die öffentliche und administrative Dienste massiv gefährden können. Die anhaltenden und vielseitigen Angriffskampagnen dieser Gruppe zeigen deutlich, wie zielgerichtet und strategisch moderne Cyberbedrohungen agieren. Indem sie ihre Zielbranchen und -regionen wechseln, erschweren sie die Verteidigung und erhöhen die Erfolgswahrscheinlichkeit ihrer Operationen.
Unternehmen und Behörden in den betroffenen Regionen stehen vor der Herausforderung, nicht nur technische Schwachstellen zu schließen, sondern auch ihre Sicherheitsprozesse und Monitoring-Systeme kontinuierlich anzupassen. Fachleute raten dringend dazu, regelmäßig Sicherheitsupdates und Patches für SAP NetWeaver, Microsoft SQL Server und weitere genutzte Softwarelösungen einzuspielen. Überdies ist es essenziell, Netzwerke auf ungewöhnliche Aktivitäten zu überwachen, Angriffsindikatoren zu erkennen und entsprechende Incident-Response-Pläne bereitzuhalten. Der Einsatz von modernen Threat-Intelligence-Diensten und Partnerschaften mit spezialisierten Cybersicherheitsfirmen kann helfen, frühzeitig vor Angriffen informiert zu werden und die Abwehrmaßnahmen gezielt auszurichten. Die kontinuierliche Weiterentwicklung der verwendeten Malware und die Anpassung der Kommunikationstechnologien durch die Angreifer verdeutlichen, dass Earth Lamia kein statisches Bedrohungsbild darstellt.
Die Sicherheitsbranche muss fortwährend wachsam bleiben und Technologietrends sowie neue Exploit-Techniken genau beobachten, um angemessen auf die sich wandelnde Bedrohungslage zu reagieren. Nur durch koordinierte Anstrengungen zwischen Unternehmen, staatlichen Institutionen und Sicherheitsanbietern können die Angriffswellen dieser und ähnlicher Gruppen wirkungsvoll eingedämmt werden. Im globalen Kontext zeigen die Aktivitäten von Earth Lamia beispielhaft, wie geopolitische Verflechtungen und staatlich unterstützte oder -nahe Hackergruppen die Cybersicherheit nachhaltig beeinflussen. Besonders die gezielte Attacken auf Bildungseinrichtungen und staatliche Stellen werfen Fragen hinsichtlich der Angriffsziele und der dahinterliegenden Motivationen auf. Cyberespionage und Informationsdiebstahl spielen dabei eine zentrale Rolle, die weit über rein finanziellen Gewinn hinausgehen.
Zusammenfassend lässt sich feststellen, dass die Gefahr durch China-verbundene Hackergruppen wie Earth Lamia hoch und weiterhin dynamisch ist. Ihre breit gefächerten und raffinierten Angriffsmethoden auf SAP und SQL Server-Anwendungen verdeutlichen die Notwendigkeit umfassender Sicherheitsstrategien, um Unternehmen in den gefährdeten Regionen effektiv zu schützen. Prävention, Detektion und Reaktion müssen dabei Hand in Hand gehen, um den immer komplexeren Cyberangriffen entgegenzutreten und die kritische Infrastruktur gegen zukünftige Bedrohungen zu wappnen.
