Οι επιθέσεις APT από το «Earth Estries» χτύπησαν το Gov't, Tech With Custom Malware

Ένας νέος παράγοντας απειλής κλέβει αθόρυβα πληροφορίες από κυβερνήσεις και τεχνολογικούς οργανισμούς σε όλο τον κόσμο.

Η εν εξελίξει καμπάνια έρχεται από το «Earth Estries». Η μέχρι πρότινος άγνωστη ομάδα υπήρχε τουλάχιστον από το 2020, σύμφωνα με μια νέα αναφορά από την Trend Micro, και επικαλύπτεται σε κάποιο βαθμό με μια άλλη ομάδα κατασκοπείας στον κυβερνοχώρο, το FamousSparrow. Αν και οι στόχοι τείνουν να προέρχονται από τις ίδιες βιομηχανίες, καλύπτουν τον κόσμο από τις ΗΠΑ έως τις Φιλιππίνες, τη Γερμανία, την Ταϊβάν, τη Μαλαισία και τη Νότια Αφρική.

Το Earth Estries έχει μια τάση να χρησιμοποιεί πλευρική φόρτωση DLL για την εκτέλεση οποιουδήποτε από τα τρία προσαρμοσμένα κακόβουλα λογισμικά του - δύο backdoors και ένα infostealer - μαζί με άλλα εργαλεία όπως το Cobalt Strike. «Οι παράγοντες απειλών πίσω από το Earth Estries εργάζονται με πόρους υψηλού επιπέδου και λειτουργούν με εξελιγμένες δεξιότητες και εμπειρία στην κυβερνοκατασκοπεία και τις παράνομες δραστηριότητες», έγραψαν οι ερευνητές της Trend Micro.

Σετ εργαλείων Earth Estries

Το Earth Estries διαθέτει τρία μοναδικά εργαλεία κακόβουλου λογισμικού: Zingdoor, TrillClient και HemiGate.

Το Zingdoor είναι ένα HTTP backdoor που αναπτύχθηκε για πρώτη φορά τον Ιούνιο του 2022, και αναπτύχθηκε σε περιορισμένες μόνο περιπτώσεις έκτοτε. Είναι γραμμένο στο Golang (Go), προσφέροντάς του δυνατότητες πολλαπλών πλατφορμών, και γεμάτη με UPX. Μπορεί να ανακτήσει πληροφορίες συστήματος και υπηρεσιών Windows. απαρίθμηση, αποστολή ή λήψη αρχείων. και να εκτελέσετε αυθαίρετες εντολές σε έναν κεντρικό υπολογιστή.

Το TrillClient είναι ένας συνδυασμός προγράμματος εγκατάστασης και infostealer, γραμμένος επίσης στο Go και συσκευασμένος σε ένα αρχείο ντουλαπιού των Windows (.cab). Ο κλέφτης έχει σχεδιαστεί για να συλλέγει τα διαπιστευτήρια του προγράμματος περιήγησης, με μια πρόσθετη ικανότητα να ενεργεί ή να κοιμάται κατόπιν εντολής ή σε τυχαία διαστήματα, με στόχο την αποφυγή εντοπισμού. Μαζί με το Zingdoor, διαθέτει μια προσαρμοσμένη συσκευή συσκότισης που έχει σχεδιαστεί για να συγκρατεί εργαλεία ανάλυσης.

Το πιο πολύπλευρο εργαλείο της ομάδας είναι το backdoor HemiGate. Αυτό το κακόβουλο λογισμικό πολλαπλών περιπτώσεων, όλα σε ένα περιλαμβάνει λειτουργίες για καταγραφή πλήκτρων, λήψη στιγμιότυπων οθόνης, εκτέλεση εντολών και παρακολούθηση, προσθήκη, διαγραφή και επεξεργασία αρχείων, καταλόγων και διαδικασιών. 

Μέθοδοι Earth Estries

Τον Απρίλιο, οι ερευνητές παρατήρησαν το Earth Estries χρησιμοποιώντας παραβιασμένους λογαριασμούς με δικαιώματα διαχειριστή για να μολύνουν τους εσωτερικούς διακομιστές ενός οργανισμού. Τα μέσα με τα οποία παραβιάστηκαν αυτοί οι λογαριασμοί είναι άγνωστα. Φύτεψε το Cobalt Strike για να εδραιώσει στο σύστημα, στη συνέχεια χρησιμοποίησε μπλοκ μηνυμάτων διακομιστή (SMB) και γραμμή εντολών WMI για να φέρει το δικό του κακόβουλο λογισμικό στο πάρτι.

Στις μεθόδους του, το Earth Estries δίνει την εντύπωση μιας καθαρής, σκόπιμης επέμβασης.

Για παράδειγμα, για να εκτελέσει το κακόβουλο λογισμικό του σε έναν κεντρικό υπολογιστή, επιλέγει αξιόπιστα η δύσκολη μέθοδος πλευρικής φόρτωσης DLL. Και, εξήγησαν οι ερευνητές, «οι παράγοντες της απειλής καθάριζαν τακτικά την υπάρχουσα κερκόπορτα τους μετά την ολοκλήρωση κάθε γύρου λειτουργίας και αναδιατάχθηκαν ένα νέο κομμάτι κακόβουλου λογισμικού όταν ξεκίνησαν έναν άλλο γύρο. Πιστεύουμε ότι το κάνουν αυτό για να μειώσουν τον κίνδυνο έκθεσης και ανίχνευσης».

Η πλευρική φόρτωση DLL και ένα άλλο εργαλείο που χρησιμοποιεί η ομάδα — Fastly CDN — είναι δημοφιλή Υποομάδες APT41 όπως το Earth Longzhi. Η Trend Micro βρήκε επίσης αλληλεπικαλύψεις μεταξύ του backdoor loader του Earth Estries και του FamousSparrow. Ωστόσο, η ακριβής προέλευση των Earth Estries είναι ασαφής. Δεν βοηθά, επίσης, το γεγονός ότι η υποδομή C2 του είναι εξαπλωμένη σε πέντε ηπείρους, που εκτείνονται σε όλα τα ημισφαίρια της γης: από τον Καναδά μέχρι την Αυστραλία, τη Φινλανδία έως το Λάος, με τη μεγαλύτερη συγκέντρωση στις ΗΠΑ και την Ινδία.

Οι ερευνητές ενδέχεται να μάθουν περισσότερα για την ομάδα σύντομα, καθώς η εκστρατεία της ενάντια σε κυβερνητικούς και τεχνολογικούς οργανισμούς σε όλο τον κόσμο παραμένει σε εξέλιξη σήμερα.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware