Äsja tuvastatud ohus osaleja varastab vaikselt teavet valitsustelt ja tehnoloogiaorganisatsioonidelt kogu maailmas.
Käimasolev kampaania toimub tänu "Earth Estriesile". Seni tundmatu rühmitus on eksisteerinud vähemalt 2020. aastast Trend Micro uus aruanne, ja kattub teatud määral veel üks küberspionaažiriietus, FamousSparrow. Ehkki sihtmärgid pärinevad tavaliselt ühest ja samast tööstusharust, ulatuvad need üle maailma USA-st Filipiinide, Saksamaa, Taiwani, Malaisia ja Lõuna-Aafrikani.
Earth Estries kipub kasutama DLL-i külglaadimist, et käitada mis tahes oma kolmest kohandatud pahavarast – kaks tagauksest ja infovarast – koos muude tööriistadega, nagu Cobalt Strike. "Maa Estriesi taga olevad ohutegurid töötavad kõrgetasemeliste ressurssidega ning küberspionaaži ja ebaseaduslike tegevuste alal keerukate oskuste ja kogemustega," kirjutasid Trend Micro teadlased.
Earth Estries'i tööriistakomplekt
Earth Estriesil on kolm ainulaadset pahavara tööriista: Zingdoor, TrillClient ja HemiGate.
Zingdoor on HTTP-tagauks, mis töötati esmakordselt välja 2022. aasta juunis ja mida on pärast seda kasutusele võetud vaid piiratud juhtudel. See on kirjutatud Golangi keeles (Mine), pakkudes sellele platvormiüleseid võimalusija pakitud UPX-iga. See suudab hankida teavet süsteemi ja Windowsi teenuste kohta; failide loetlemine, üleslaadimine või allalaadimine; ja käivitage hostmasinas suvalisi käske.
TrillClient on kombineeritud installer ja infostealer, mis on samuti kirjutatud Go-s ja pakitud Windowsi kabinetifaili (.cab). Varastaja on loodud brauseri mandaatide kogumiseks, millele on lisatud võimalus tegutseda või magada käsu alusel või juhuslike ajavahemike järel, eesmärgiga vältida tuvastamist. Koos Zingdooriga on sellel kohandatud obfuskaator, mis on loodud analüüsitööriistade jaoks.
Grupi kõige mitmekülgsem tööriist on tagauks HemiGate. See mitut eksemplari hõlmav kõik-ühes pahavara sisaldab funktsioone klahvilogimiseks, ekraanipiltide jäädvustamiseks, käskude käivitamiseks ning failide, kataloogide ja protsesside jälgimiseks, lisamiseks, kustutamiseks ja redigeerimiseks.
Earth Estries'i meetodid
Aprillis jälgisid teadlased, et Earth Estries kasutas organisatsiooni siseserverite nakatamiseks administraatoriõigustega ohustatud kontosid; vahendid, mille abil need kontod ohustati, pole teada. See istutas Cobalt Strike'i, et kehtestada süsteemis tugipunkt, seejärel kasutati serveri sõnumiplokki (SMB) ja WMI käsurida, et tuua peole oma pahavara.
Oma meetodites jätab Earth Estries mulje puhtast, tahtlikust tegevusest.
Näiteks valib see usaldusväärselt oma pahavara käivitamiseks hostmasinas DLL-i külglaadimise keeruline meetod. Teadlased selgitasid, et "ohutegijad puhastasid regulaarselt oma olemasolevat tagaust pärast iga operatsioonitsükli lõpetamist ja paigutasid uue ründevara uuesti kasutusele, kui nad alustasid uut vooru. Usume, et nad teevad seda kokkupuute ja avastamise riski vähendamiseks.
DLL-i külglaadimine ja teine rühma kasutatav tööriist - Fastly CDN - on populaarsed APT41 alamrühmad nagu Earth Longzhi. Trend Micro leidis ka kattumisi Earth Estriesi tagaukse laaduri ja FamousSparrow'i vahel. Siiski on Earth Estries'i täpne päritolu ebaselge. Ei aita ka see, et selle C2 infrastruktuur on jaotatud viiele kontinendile, hõlmates kõiki maakera poolkerasid: Kanadast Austraaliani, Soomest Laoseni, kusjuures suurim kontsentratsioon on USA-s ja Indias.
Teadlased võivad peagi grupi kohta rohkem teada saada, kuna selle kampaania valitsus- ja tehnoloogiaorganisatsioonide vastu kogu maailmas jätkub täna.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware
- :on
- :on
- 2020
- 2022
- 7
- a
- võime
- MEIST
- Vastavalt
- Kontod
- üle
- tegu
- tegevus
- osalejad
- lisatud
- lisades
- haldus-
- Aafrika
- pärast
- vastu
- Materjal: BPA ja flataatide vaba plastik
- kõik ühes
- mööda
- Ka
- an
- analüüs
- ja
- Teine
- mistahes
- Aprill
- APT
- OLEME
- ümber
- AS
- At
- Reageerib
- Austraalia
- vältides
- tagauks
- Tagauksed
- taga
- Uskuma
- vahel
- Blokeerima
- tooma
- brauseri
- by
- Kampaania
- CAN
- Kanada
- Püüdmine
- Koobalt
- koguma
- kombinatsioon
- Tulema
- tuleb
- Kompromissitud
- kontsentratsioon
- Paar
- volikiri
- tava
- cyber
- Kraad
- lähetatud
- kavandatud
- Detection
- arenenud
- kataloogid
- do
- ei
- lae alla
- iga
- maa
- kumbki
- spionaaž
- looma
- näide
- täitma
- olemasolevate
- kogemus
- selgitas
- Säritus
- FUNKTSIOONID
- fail
- Faile
- Soome
- esimene
- viis
- eest
- avastatud
- Alates
- toimimine
- Saksamaa
- annab
- maakera
- Go
- eesmärk
- Valitsus
- Valitsused
- Grupp
- Grupi omad
- aitama
- poolkerad
- kõrgetasemeline
- kõrgeim
- Tulemus
- võõrustaja
- HTML
- http
- HTTPS
- tuvastatud
- ebaseaduslik
- in
- hõlmab
- India
- tööstusharudes
- info
- Infrastruktuur
- sisemine
- IT
- ITS
- jpg
- juuni
- Õppida
- kõige vähem
- nagu
- piiratud
- joon
- laadur
- masin
- Malaisia
- malware
- mai..
- vahendid
- sõnum
- meetod
- meetodid
- micro
- järelevalve
- rohkem
- kõige
- mitmetahuline
- Uus
- äsja
- of
- on
- jätkuv
- ainult
- töö
- Valib
- or
- organisatsioon
- organisatsioonid
- päritolu
- Muu
- enda
- pakendatud
- pakitud
- partei
- Filipiinid
- tükk
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- varem
- privileegid
- Protsessid
- vaikselt
- juhuslik
- vähendama
- regulaarselt
- jäänused
- aru
- Teadlased
- Vahendid
- Oht
- ümber
- jooks
- jooksmine
- s
- sama
- ekraanipilte
- Serverid
- Teenused
- külglaadimine
- alates
- oskused
- uni
- SMB
- mõned
- varsti
- keeruline
- Lõuna
- Lõuna-Aafrika
- sille
- Pinge
- sport
- laiali
- alustatud
- Veel
- lööma
- süsteem
- Taiwan
- eesmärgid
- tech
- Tehnoloogia
- et
- .
- Filipiinid
- maailm
- oma
- SIIS
- nad
- see
- need
- kuigi?
- oht
- ohus osalejad
- kolm
- et
- täna
- tööriist
- töövahendid
- Trend
- kaks
- ainulaadne
- tundmatu
- us
- Kasutatud
- kasutusalad
- kasutamine
- we
- olid
- millal
- mis
- aknad
- koos
- töö
- maailm
- kirjalik
- kirjutas
- sephyrnet