APT-angreb fra 'Earth Estries' Hit Gov't, Tech With Custom Malware

APT-angreb fra 'Earth Estries' Hit Gov't, Tech With Custom Malware

Tidsstempel: 30. august 2023 kl. 5
APT Attacks From 'Earth Estries' Hit Gov't, Tech With Custom Malware PlatoBlockchain Data Intelligence. Vertical Search. Ai.

En nyligt identificeret trusselsaktør stjæler stille og roligt information fra regeringer og teknologiorganisationer over hele kloden.

Den igangværende kampagne kommer med høflighed af "Earth Estries." Den hidtil ukendte gruppe har eksisteret siden mindst 2020, ifølge en ny rapport fra Trend Micro, og overlapper til en vis grad med et andet cyberspionagetøj, FamousSparrow. Selvom mål plejer at komme fra det samme par industrier, spænder de over hele kloden fra USA til Filippinerne, Tyskland, Taiwan, Malaysia og Sydafrika.

Earth Estries har en forkærlighed for at bruge DLL sideloading til at køre enhver af dens tre tilpassede malware - to bagdøre og en infostealer - sammen med andre værktøjer som Cobalt Strike. "Trusselsaktørerne bag Earth Estries arbejder med ressourcer på højt niveau og fungerer med sofistikerede færdigheder og erfaring inden for cyberspionage og ulovlige aktiviteter," skrev Trend Micros forskere.

Earth Estries' værktøjssæt

Earth Estries besidder tre unikke malware-værktøjer: Zingdoor, TrillClient og HemiGate.

Zingdoor er en HTTP-bagdør, som først blev udviklet i juni 2022, og som kun blev implementeret i begrænsede tilfælde siden. Det er skrevet i Golang (Go), giver det muligheder på tværs af platforme, og pakket med UPX. Det kan hente information om system og Windows-tjenester; opregne, uploade eller downloade filer; og kør vilkårlige kommandoer på en værtsmaskine.

TrillClient er en kombination af installationsprogram og infostealer, også skrevet i Go og pakket i en Windows-kabinetfil (.cab). Styveren er designet til at indsamle browser-legitimationsoplysninger med en tilføjet evne til at handle eller sove på kommando eller med tilfældige intervaller med det formål at undgå opdagelse. Sammen med Zingdoor har den en brugerdefineret obfuscator designet til at stumpe analyseværktøjer.

Koncernens mest mangesidede værktøj er bagdøren HemiGate. Denne multi-instans, alt-i-en malware indeholder funktioner til keylogging, optagelse af skærmbilleder, kørsel af kommandoer og overvågning, tilføjelse, sletning og redigering af filer, mapper og processer. 

Earth Estries' Metoder

I april observerede forskere Earth Estries ved at bruge kompromitterede konti med administrative rettigheder til at inficere en organisations interne servere; måden, hvorpå disse konti blev kompromitteret, er ukendt. Det plantede Cobalt Strike for at etablere fodfæste i systemet, og brugte derefter servermeddelelsesblok (SMB) og WMI-kommandolinje til at bringe sin egen malware til festen.

I sine metoder giver Earth Estries indtryk af en ren, bevidst operation.

For eksempel, for at udføre sin malware på en værtsmaskine, vælger den pålideligt den vanskelige metode til DLL sideloading. Og, forklarede forskerne, "trusselsaktørerne rensede regelmæssigt deres eksisterende bagdør efter at have afsluttet hver operationsrunde og ominstallerede et nyt stykke malware, når de startede en ny runde. Vi mener, at de gør dette for at reducere risikoen for eksponering og påvisning."

DLL sideloading og et andet værktøj, som gruppen bruger - Fastly CDN - er populært med APT41 undergrupper som Earth Longzhi. Trend Micro fandt også overlapninger mellem Earth Estries' bagdørslæsser og FamousSparrow's. Alligevel er den nøjagtige oprindelse af Earth Estries uklar. Det hjælper heller ikke, at dens C2-infrastruktur er spredt over fem kontinenter, der spænder over alle jordens halvkugler: fra Canada til Australien, Finland til Laos, med den højeste koncentration i USA og Indien.

Forskere kan snart lære mere om gruppen, da dens kampagne mod regerings- og teknologiorganisationer over hele verden fortsætter i dag.

Tidsstempel:

Mere fra Mørk læsning