APT rünnakud „Earth Estries” tabas valitsust, tehnikat kohandatud pahavaraga

APT rünnakud „Earth Estries” tabas valitsust, tehnikat kohandatud pahavaraga

Ajatempel: 30. august 2023 5:09
APT rünnakud 'Earth Estries'ilt tabasid valitsust, tehnikat kohandatud pahavara PlatoBlockchain andmeluure abil. Vertikaalne otsing. Ai.

Äsja tuvastatud ohus osaleja varastab vaikselt teavet valitsustelt ja tehnoloogiaorganisatsioonidelt kogu maailmas.

Käimasolev kampaania toimub tänu "Earth Estriesile". Seni tundmatu rühmitus on eksisteerinud vähemalt 2020. aastast Trend Micro uus aruanne, ja kattub teatud määral veel üks küberspionaažiriietus, FamousSparrow. Ehkki sihtmärgid pärinevad tavaliselt ühest ja samast tööstusharust, ulatuvad need üle maailma USA-st Filipiinide, Saksamaa, Taiwani, Malaisia ​​ja Lõuna-Aafrikani.

Earth Estries kipub kasutama DLL-i külglaadimist, et käitada mis tahes oma kolmest kohandatud pahavarast – kaks tagauksest ja infovarast – koos muude tööriistadega, nagu Cobalt Strike. "Maa Estriesi taga olevad ohutegurid töötavad kõrgetasemeliste ressurssidega ning küberspionaaži ja ebaseaduslike tegevuste alal keerukate oskuste ja kogemustega," kirjutasid Trend Micro teadlased.

Earth Estries'i tööriistakomplekt

Earth Estriesil on kolm ainulaadset pahavara tööriista: Zingdoor, TrillClient ja HemiGate.

Zingdoor on HTTP-tagauks, mis töötati esmakordselt välja 2022. aasta juunis ja mida on pärast seda kasutusele võetud vaid piiratud juhtudel. See on kirjutatud Golangi keeles (Mine), pakkudes sellele platvormiüleseid võimalusija pakitud UPX-iga. See suudab hankida teavet süsteemi ja Windowsi teenuste kohta; failide loetlemine, üleslaadimine või allalaadimine; ja käivitage hostmasinas suvalisi käske.

TrillClient on kombineeritud installer ja infostealer, mis on samuti kirjutatud Go-s ja pakitud Windowsi kabinetifaili (.cab). Varastaja on loodud brauseri mandaatide kogumiseks, millele on lisatud võimalus tegutseda või magada käsu alusel või juhuslike ajavahemike järel, eesmärgiga vältida tuvastamist. Koos Zingdooriga on sellel kohandatud obfuskaator, mis on loodud analüüsitööriistade jaoks.

Grupi kõige mitmekülgsem tööriist on tagauks HemiGate. See mitut eksemplari hõlmav kõik-ühes pahavara sisaldab funktsioone klahvilogimiseks, ekraanipiltide jäädvustamiseks, käskude käivitamiseks ning failide, kataloogide ja protsesside jälgimiseks, lisamiseks, kustutamiseks ja redigeerimiseks. 

Earth Estries'i meetodid

Aprillis jälgisid teadlased, et Earth Estries kasutas organisatsiooni siseserverite nakatamiseks administraatoriõigustega ohustatud kontosid; vahendid, mille abil need kontod ohustati, pole teada. See istutas Cobalt Strike'i, et kehtestada süsteemis tugipunkt, seejärel kasutati serveri sõnumiplokki (SMB) ja WMI käsurida, et tuua peole oma pahavara.

Oma meetodites jätab Earth Estries mulje puhtast, tahtlikust tegevusest.

Näiteks valib see usaldusväärselt oma pahavara käivitamiseks hostmasinas DLL-i külglaadimise keeruline meetod. Teadlased selgitasid, et "ohutegijad puhastasid regulaarselt oma olemasolevat tagaust pärast iga operatsioonitsükli lõpetamist ja paigutasid uue ründevara uuesti kasutusele, kui nad alustasid uut vooru. Usume, et nad teevad seda kokkupuute ja avastamise riski vähendamiseks.

DLL-i külglaadimine ja teine ​​​​rühma kasutatav tööriist - Fastly CDN - on populaarsed APT41 alamrühmad nagu Earth Longzhi. Trend Micro leidis ka kattumisi Earth Estriesi tagaukse laaduri ja FamousSparrow'i vahel. Siiski on Earth Estries'i täpne päritolu ebaselge. Ei aita ka see, et selle C2 infrastruktuur on jaotatud viiele kontinendile, hõlmates kõiki maakera poolkerasid: Kanadast Austraaliani, Soomest Laoseni, kusjuures suurim kontsentratsioon on USA-s ja Indias.

Teadlased võivad peagi grupi kohta rohkem teada saada, kuna selle kampaania valitsus- ja tehnoloogiaorganisatsioonide vastu kogu maailmas jätkub täna.

Ajatempel:

Veel alates Tume lugemine