APT-hyökkäykset "Earth Estriesistä" osuivat hallintoon, tekniikkaan mukautetuilla haittaohjelmilla

Äskettäin tunnistettu uhkatekijä varastaa hiljaa tietoja hallituksilta ja teknologiaorganisaatioilta ympäri maailmaa.

Meneillään oleva kampanja on "Earth Estries" -sivuston luvalla. Aiemmin tuntematon ryhmä on ollut olemassa ainakin vuodesta 2020 lähtien Trend Micron uusi raportti, ja menee jossain määrin päällekkäin toinen kybervakoiluasu, FamousSparrow. Vaikka kohteet tulevat yleensä samalta teollisuudenalalta, ne ulottuvat ympäri maailmaa Yhdysvalloista Filippiineille, Saksaan, Taiwaniin, Malesiaan ja Etelä-Afrikkaan.

Earth Estriesillä on taipumus käyttää DLL-sivulatausta minkä tahansa kolmesta mukautetusta haittaohjelmastaan ​​- kaksi takaovista ja infostealer - ajamiseen muiden työkalujen, kuten Cobalt Striken, kanssa. "Earth Estriesin takana olevat uhkatekijät työskentelevät korkean tason resursseilla ja toimivat kehittyneillä taidoilla ja kokemuksella kybervakoilusta ja laittomista toimista", Trend Micron tutkijat kirjoittivat.

Earth Estries -työkalusarja

Earth Estriesillä on kolme ainutlaatuista haittaohjelmatyökalua: Zingdoor, TrillClient ja HemiGate.

Zingdoor on HTTP-takaovi, joka kehitettiin ensimmäisen kerran kesäkuussa 2022, ja sitä on otettu käyttöön vain rajoitetuissa tapauksissa. Se on kirjoitettu Golangilla (Mene), antaa sille monialustaisia ​​ominaisuuksia, ja pakattu UPX:llä. Se voi hakea järjestelmä- ja Windows-palvelutietoja; luetella, ladata tai ladata tiedostoja; ja suorittaa mielivaltaisia ​​komentoja isäntäkoneessa.

TrillClient on yhdistelmäasennusohjelma ja infostealer, joka on myös kirjoitettu Go-kielellä ja pakattu Windowsin kabinettitiedostoon (.cab). Varastaja on suunniteltu keräämään selaimen tunnistetietoja, joihin on lisätty kyky toimia tai nukkua komennon mukaan tai satunnaisin väliajoin havaitsemisen välttämiseksi. Yhdessä Zingdoorin kanssa se sisältää mukautetun obfuskaattorin, joka on suunniteltu analysoimaan analyysityökaluja.

Ryhmän monipuolisin työkalu on takaoven HemiGate. Tämä usean esiintymän, all-in-one-haittaohjelma sisältää ominaisuuksia näppäinlokiin, kuvakaappausten kaappaamiseen, komentojen suorittamiseen sekä tiedostojen, hakemistojen ja prosessien valvontaan, lisäämiseen, poistamiseen ja muokkaamiseen. 

Earth Estriesin menetelmät

Huhtikuussa tutkijat havaitsivat Earth Estriesin käyttävän vaarantuneita tilejä, joilla oli järjestelmänvalvojan oikeudet tartuttaakseen organisaation sisäisiä palvelimia. keinoja, joilla nämä tilit on vaarantunut, ei tiedetä. Se istutti Cobalt Striken vahvistamaan jalansijaa järjestelmään ja käytti sitten palvelimen viestilohkoa (SMB) ja WMI-komentoriviä tuodakseen oman haittaohjelmansa juhliin.

Earth Estries antaa menetelmillään vaikutelman puhtaasta, harkitusta toiminnasta.

Esimerkiksi suorittaakseen haittaohjelmansa isäntäkoneessa se valitsee luotettavasti hankala tapa DLL-sivulataukseen. Ja tutkijat selittivät, että "uhkatoimijat puhdistivat säännöllisesti olemassa olevan takaovensa jokaisen toimintakierroksen päätyttyä ja järjestivät uudelleen uuden haittaohjelman, kun he aloittivat uuden kierroksen. Uskomme, että he tekevät tämän vähentääkseen altistumisen ja havaitsemisen riskiä."

DLL-sivulataus ja toinen ryhmän käyttämä työkalu - Fastly CDN - ovat suosittuja APT41-alaryhmät, kuten Earth Longzhi. Trend Micro löysi myös päällekkäisyyksiä Earth Estrisin takaoven kuormaimen ja FamousSparrow'n välillä. Silti Earth Estriesin tarkka alkuperä on epäselvä. Ei auta myöskään se, että sen C2-infrastruktuuri on hajallaan viidelle mantereelle ja kattaa kaikki maapallon pallonpuoliskot: Kanadasta Australiaan, Suomesta Laosiin, eniten Yhdysvalloissa ja Intiassa.

Tutkijat saattavat oppia lisää ryhmästä pian, sillä sen kampanja hallitus- ja teknologiajärjestöjä vastaan ​​eri puolilla maailmaa jatkuu edelleen.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware