Ένας νέος παράγοντας απειλής κλέβει αθόρυβα πληροφορίες από κυβερνήσεις και τεχνολογικούς οργανισμούς σε όλο τον κόσμο.
Η εν εξελίξει καμπάνια έρχεται από το «Earth Estries». Η μέχρι πρότινος άγνωστη ομάδα υπήρχε τουλάχιστον από το 2020, σύμφωνα με μια νέα αναφορά από την Trend Micro, και επικαλύπτεται σε κάποιο βαθμό με μια άλλη ομάδα κατασκοπείας στον κυβερνοχώρο, το FamousSparrow. Αν και οι στόχοι τείνουν να προέρχονται από τις ίδιες βιομηχανίες, καλύπτουν τον κόσμο από τις ΗΠΑ έως τις Φιλιππίνες, τη Γερμανία, την Ταϊβάν, τη Μαλαισία και τη Νότια Αφρική.
Το Earth Estries έχει μια τάση να χρησιμοποιεί πλευρική φόρτωση DLL για την εκτέλεση οποιουδήποτε από τα τρία προσαρμοσμένα κακόβουλα λογισμικά του - δύο backdoors και ένα infostealer - μαζί με άλλα εργαλεία όπως το Cobalt Strike. «Οι παράγοντες απειλών πίσω από το Earth Estries εργάζονται με πόρους υψηλού επιπέδου και λειτουργούν με εξελιγμένες δεξιότητες και εμπειρία στην κυβερνοκατασκοπεία και τις παράνομες δραστηριότητες», έγραψαν οι ερευνητές της Trend Micro.
Σετ εργαλείων Earth Estries
Το Earth Estries διαθέτει τρία μοναδικά εργαλεία κακόβουλου λογισμικού: Zingdoor, TrillClient και HemiGate.
Το Zingdoor είναι ένα HTTP backdoor που αναπτύχθηκε για πρώτη φορά τον Ιούνιο του 2022, και αναπτύχθηκε σε περιορισμένες μόνο περιπτώσεις έκτοτε. Είναι γραμμένο στο Golang (Go), προσφέροντάς του δυνατότητες πολλαπλών πλατφορμών, και γεμάτη με UPX. Μπορεί να ανακτήσει πληροφορίες συστήματος και υπηρεσιών Windows. απαρίθμηση, αποστολή ή λήψη αρχείων. και να εκτελέσετε αυθαίρετες εντολές σε έναν κεντρικό υπολογιστή.
Το TrillClient είναι ένας συνδυασμός προγράμματος εγκατάστασης και infostealer, γραμμένος επίσης στο Go και συσκευασμένος σε ένα αρχείο ντουλαπιού των Windows (.cab). Ο κλέφτης έχει σχεδιαστεί για να συλλέγει τα διαπιστευτήρια του προγράμματος περιήγησης, με μια πρόσθετη ικανότητα να ενεργεί ή να κοιμάται κατόπιν εντολής ή σε τυχαία διαστήματα, με στόχο την αποφυγή εντοπισμού. Μαζί με το Zingdoor, διαθέτει μια προσαρμοσμένη συσκευή συσκότισης που έχει σχεδιαστεί για να συγκρατεί εργαλεία ανάλυσης.
Το πιο πολύπλευρο εργαλείο της ομάδας είναι το backdoor HemiGate. Αυτό το κακόβουλο λογισμικό πολλαπλών περιπτώσεων, όλα σε ένα περιλαμβάνει λειτουργίες για καταγραφή πλήκτρων, λήψη στιγμιότυπων οθόνης, εκτέλεση εντολών και παρακολούθηση, προσθήκη, διαγραφή και επεξεργασία αρχείων, καταλόγων και διαδικασιών.
Μέθοδοι Earth Estries
Τον Απρίλιο, οι ερευνητές παρατήρησαν το Earth Estries χρησιμοποιώντας παραβιασμένους λογαριασμούς με δικαιώματα διαχειριστή για να μολύνουν τους εσωτερικούς διακομιστές ενός οργανισμού. Τα μέσα με τα οποία παραβιάστηκαν αυτοί οι λογαριασμοί είναι άγνωστα. Φύτεψε το Cobalt Strike για να εδραιώσει στο σύστημα, στη συνέχεια χρησιμοποίησε μπλοκ μηνυμάτων διακομιστή (SMB) και γραμμή εντολών WMI για να φέρει το δικό του κακόβουλο λογισμικό στο πάρτι.
Στις μεθόδους του, το Earth Estries δίνει την εντύπωση μιας καθαρής, σκόπιμης επέμβασης.
Για παράδειγμα, για να εκτελέσει το κακόβουλο λογισμικό του σε έναν κεντρικό υπολογιστή, επιλέγει αξιόπιστα η δύσκολη μέθοδος πλευρικής φόρτωσης DLL. Και, εξήγησαν οι ερευνητές, «οι παράγοντες της απειλής καθάριζαν τακτικά την υπάρχουσα κερκόπορτα τους μετά την ολοκλήρωση κάθε γύρου λειτουργίας και αναδιατάχθηκαν ένα νέο κομμάτι κακόβουλου λογισμικού όταν ξεκίνησαν έναν άλλο γύρο. Πιστεύουμε ότι το κάνουν αυτό για να μειώσουν τον κίνδυνο έκθεσης και ανίχνευσης».
Η πλευρική φόρτωση DLL και ένα άλλο εργαλείο που χρησιμοποιεί η ομάδα — Fastly CDN — είναι δημοφιλή Υποομάδες APT41 όπως το Earth Longzhi. Η Trend Micro βρήκε επίσης αλληλεπικαλύψεις μεταξύ του backdoor loader του Earth Estries και του FamousSparrow. Ωστόσο, η ακριβής προέλευση των Earth Estries είναι ασαφής. Δεν βοηθά, επίσης, το γεγονός ότι η υποδομή C2 του είναι εξαπλωμένη σε πέντε ηπείρους, που εκτείνονται σε όλα τα ημισφαίρια της γης: από τον Καναδά μέχρι την Αυστραλία, τη Φινλανδία έως το Λάος, με τη μεγαλύτερη συγκέντρωση στις ΗΠΑ και την Ινδία.
Οι ερευνητές ενδέχεται να μάθουν περισσότερα για την ομάδα σύντομα, καθώς η εκστρατεία της ενάντια σε κυβερνητικούς και τεχνολογικούς οργανισμούς σε όλο τον κόσμο παραμένει σε εξέλιξη σήμερα.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware
- :έχει
- :είναι
- 2020
- 2022
- 7
- a
- ικανότητα
- Σχετικα
- Σύμφωνα με
- Λογαριασμοί
- απέναντι
- Πράξη
- δραστηριοτήτων
- φορείς
- προστιθέμενη
- προσθήκη
- διοικητικός
- Αφρική
- Μετά το
- κατά
- Όλα
- όλα σε ένα
- κατά μήκος
- Επίσης
- an
- ανάλυση
- και
- Άλλος
- κάθε
- Απρίλιος
- APT
- ΕΙΝΑΙ
- γύρω
- AS
- At
- Επιθέσεις
- Australia
- αποφεύγοντας
- κερκόπορτα
- Κερκόπορτες
- πίσω
- Πιστεύω
- μεταξύ
- Αποκλεισμός
- φέρω
- πρόγραμμα περιήγησης
- by
- Εκστρατεία
- CAN
- Canada
- Καταγραφή
- Κοβάλτιο
- συλλέγουν
- συνδυασμός
- Ελάτε
- έρχεται
- Συμβιβασμένος
- συγκέντρωση
- Ζευγάρι
- Διαπιστεύσεις
- έθιμο
- στον κυβερνοχώρο
- Πτυχίο
- αναπτυχθεί
- σχεδιασμένα
- Ανίχνευση
- αναπτύχθηκε
- Κατάλογοι
- do
- doesn
- κατεβάσετε
- κάθε
- γη
- είτε
- κατασκοπεία
- εγκαθιδρύω
- παράδειγμα
- εκτελέσει
- υφιστάμενα
- εμπειρία
- εξήγησε
- Έκθεση
- Χαρακτηριστικά
- Αρχεία
- Αρχεία
- Finland
- Όνομα
- πέντε
- Για
- Βρέθηκαν
- από
- λειτουργία
- Germany
- δίνει
- σφαίρα
- Go
- γκολ
- Κυβέρνηση
- Κυβέρνηση
- Group
- Ομάδα
- βοήθεια
- ημισφαίρια
- υψηλού επιπέδου
- υψηλότερο
- Επιτυχία
- οικοδεσπότης
- HTML
- http
- HTTPS
- προσδιορίζονται
- παράνομος
- in
- περιλαμβάνει
- Ινδία
- βιομηχανίες
- πληροφορίες
- Υποδομή
- εσωτερικός
- IT
- ΤΟΥ
- jpg
- Ιούνιος
- ΜΑΘΑΊΝΩ
- ελάχιστα
- Μου αρέσει
- Περιωρισμένος
- γραμμή
- φορτωτής
- μηχανή
- Malaysia
- malware
- Ενδέχεται..
- μέσα
- μήνυμα
- μέθοδος
- μέθοδοι
- μικρο
- παρακολούθηση
- περισσότερο
- πλέον
- πολύπλευρη
- Νέα
- πρόσφατα
- of
- on
- συνεχή
- αποκλειστικά
- λειτουργία
- Επιλογές
- or
- επιχειρήσεις
- οργανώσεις
- καταγωγή
- ΑΛΛΑ
- δική
- συσκευάζονται
- συσκευασμένα
- κόμμα
- Philippines
- κομμάτι
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δημοφιλής
- προηγουμένως
- προνόμια
- Διεργασίες
- ήσυχα
- τυχαίος
- μείωση
- τακτικά
- λείψανα
- αναφέρουν
- ερευνητές
- Υποστηρικτικό υλικό
- Κίνδυνος
- γύρος
- τρέξιμο
- τρέξιμο
- s
- ίδιο
- screenshots
- Διακομιστές
- Υπηρεσίες
- παράπλευρη φόρτωση
- αφού
- δεξιότητες
- ύπνος
- SMB
- μερικοί
- σύντομα
- εξελιγμένα
- Νότος
- South Africa
- σπιθαμή
- ένταση
- Αθλητισμός
- διάδοση
- ξεκίνησε
- Ακόμη
- απεργία
- σύστημα
- Ταϊβάν
- στόχους
- tech
- Τεχνολογία
- ότι
- Η
- Οι Φιλιππίνες
- ο κόσμος
- τους
- τότε
- αυτοί
- αυτό
- εκείνοι
- αν και?
- απειλή
- απειλή
- τρία
- προς την
- σήμερα
- εργαλείο
- εργαλεία
- τάση
- δύο
- μοναδικός
- άγνωστος
- us
- μεταχειρισμένος
- χρησιμοποιεί
- χρησιμοποιώντας
- we
- ήταν
- πότε
- Ποιό
- παράθυρα
- με
- εργαζόμενος
- κόσμος
- γραπτή
- Έγραψε
- zephyrnet