Un actor de amenazas recientemente identificado está robando silenciosamente información de gobiernos y organizaciones tecnológicas de todo el mundo.
La campaña en curso es cortesía de “Earth Estries”. El grupo previamente desconocido existe desde al menos 2020, según un nuevo informe de Trend Micro, y se superpone hasta cierto punto con otro equipo de ciberespionaje, FamousSparrow. Aunque los objetivos tienden a provenir del mismo par de industrias, abarcan todo el mundo, desde Estados Unidos hasta Filipinas, Alemania, Taiwán, Malasia y Sudáfrica.
Earth Estries tiene predilección por utilizar la descarga de DLL para ejecutar cualquiera de sus tres malware personalizados (dos puertas traseras y un ladrón de información) junto con otras herramientas como Cobalt Strike. "Los actores de amenazas detrás de Earth Estries están trabajando con recursos de alto nivel y funcionando con habilidades y experiencia sofisticadas en ciberespionaje y actividades ilícitas", escribieron los investigadores de Trend Micro.
Conjunto de herramientas de Earth Estries
Earth Estries posee tres herramientas de malware únicas: Zingdoor, TrillClient y HemiGate.
Zingdoor es una puerta trasera HTTP desarrollada por primera vez en junio de 2022 y desde entonces se ha implementado solo en casos limitados. Está escrito en Golang (Ir), brindándole capacidades multiplataformay repleto de UPX. Puede recuperar información del sistema y de los servicios de Windows; enumerar, cargar o descargar archivos; y ejecutar comandos arbitrarios en una máquina host.
TrillClient es una combinación de instalador y ladrón de información, también escrito en Go y empaquetado en un archivo contenedor de Windows (.cab). El ladrón está diseñado para recopilar credenciales del navegador, con una capacidad adicional de actuar o dormir cuando se le ordena, o en intervalos aleatorios, con el objetivo de evitar la detección. Junto con Zingdoor, cuenta con un ofuscador personalizado diseñado para bloquear las herramientas de análisis.
La herramienta más multifacética del grupo es la puerta trasera HemiGate. Este malware todo en uno de múltiples instancias incluye funciones para registrar teclas, capturar capturas de pantalla, ejecutar comandos y monitorear, agregar, eliminar y editar archivos, directorios y procesos.
Métodos de los estudios terrestres
En abril, los investigadores observaron que Earth Estries utilizaba cuentas comprometidas con privilegios administrativos para infectar los servidores internos de una organización; Se desconoce el medio por el cual esas cuentas fueron comprometidas. Plantó Cobalt Strike para establecer un punto de apoyo en el sistema, luego utilizó el bloque de mensajes del servidor (SMB) y la línea de comando WMI para traer su propio malware a la fiesta.
En sus métodos, Earth Estries da la impresión de una operación limpia y deliberada.
Por ejemplo, para ejecutar su malware en una máquina host, opta de manera confiable por El complicado método de descarga de DLL. Y, explicaron los investigadores, “los actores de amenazas limpiaban periódicamente su puerta trasera existente después de finalizar cada ronda de operación y volvían a implementar una nueva pieza de malware cuando comenzaban otra ronda. Creemos que hacen esto para reducir el riesgo de exposición y detección”.
La descarga de DLL y otra herramienta que utiliza el grupo, Fastly CDN, son populares entre Subgrupos APT41 como Earth Longzhi. Trend Micro también encontró superposiciones entre el cargador de puerta trasera de Earth Estries y el de FamousSparrow. Aún así, el origen exacto de Earth Estries no está claro. Tampoco ayuda que su infraestructura C2 esté distribuida en cinco continentes, abarcando todos los hemisferios de la Tierra: desde Canadá hasta Australia, desde Finlandia hasta Laos, con la mayor concentración en Estados Unidos e India.
Es posible que los investigadores aprendan más sobre el grupo pronto, ya que su campaña contra gobiernos y organizaciones tecnológicas en todo el mundo continúa en la actualidad.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware
- :posee
- :es
- 2020
- 2022
- 7
- a
- capacidad
- Nuestra Empresa
- Conforme
- Cuentas
- a través de
- Actúe
- actividades
- los actores
- adicional
- la adición de
- administrativo
- África
- Después
- en contra
- Todos
- dispositivo todo en uno
- a lo largo de
- también
- an
- análisis
- y
- Otra
- cualquier
- Abril
- APT
- somos
- en torno a
- AS
- At
- ataques
- Australia
- evitar
- puerta trasera
- Puertas traseras
- detrás de
- CREEMOS
- entre
- Bloquear
- llevar
- cada navegador
- by
- Campaña
- PUEDEN
- Ubicación: Canadá
- Capturando
- Cobalt
- recoger
- combinación
- cómo
- proviene
- Comprometida
- concentración
- Parejas
- Referencias
- personalizado
- ciber
- Grado
- desplegado
- diseñado
- Detección
- desarrollado
- directorios
- do
- doesn
- descargar
- cada una
- tierra
- ya sea
- espionaje
- establecer
- ejemplo
- ejecutar
- existente
- experience
- explicado
- Exposición
- Caracteristicas
- Archive
- archivos
- Finlandia
- Nombre
- Digital XNUMXk
- encontrado
- Desde
- funcionamiento
- Alemania
- da
- globo
- Go
- objetivo
- Gobierno
- Gobiernos
- Grupo procesos
- Grupo
- ayuda
- hemisferios
- de alto nivel
- más alto
- Golpear
- fortaleza
- HTML
- http
- HTTPS
- no haber aun identificado una solucion para el problema
- ilícito
- in
- incluye
- India
- industrias
- información
- EN LA MINA
- interno
- IT
- SUS
- jpg
- junio
- APRENDE:
- menos
- como
- Limitada
- línea
- cargador
- máquina
- Malaysia
- el malware
- Puede..
- significa
- mensaje
- Método
- métodos
- micro
- monitoreo
- más,
- MEJOR DE TU
- multifacético
- Nuevo
- recién
- of
- on
- en marcha
- , solamente
- Inteligente
- Opta
- or
- organización
- para las fiestas.
- natural
- Otro
- EL DESARROLLADOR
- empaquetado
- llena
- fiesta
- Filipinas
- pieza
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Popular
- previamente
- privilegios
- en costes
- tranquilamente
- azar
- reducir
- regularmente
- permanece
- reporte
- investigadores
- Recursos
- Riesgo
- redondo
- Ejecutar
- correr
- s
- mismo
- capturas de pantalla
- Servidores
- Servicios
- carga lateral
- desde
- habilidades
- sueño
- PYME
- algo
- pronto
- sofisticado
- Sur
- Sudáfrica
- lapso
- abarcando
- Deportes
- propagación
- fundó
- Sin embargo
- strike
- te
- Taiwán
- tiene como objetivo
- tecnología
- Tecnología
- esa
- La
- Las Filipinas
- el mundo
- su
- luego
- ellos
- así
- aquellos
- ¿aunque?
- amenaza
- actores de amenaza
- Tres
- a
- hoy
- del IRS
- Tendencia
- dos
- único
- desconocido
- us
- usado
- usos
- usando
- we
- tuvieron
- cuando
- que
- ventanas
- trabajando
- mundo
- escrito
- escribí
- zephyrnet
