Az „Earth Estries” APT támadásai egyéni rosszindulatú programokkal sújtják a kormányt, a technikát

Egy újonnan azonosított fenyegetés szereplője csendben információkat lop a kormányoktól és a technológiai szervezetektől szerte a világon.

A folyamatban lévő kampány az „Earth Estries” jóvoltából jött létre. A korábban ismeretlen csoport legalább 2020 óta létezik a Trend Micro új jelentése, és bizonyos mértékig átfedésben van ezzel egy másik internetes kémfelszerelés, a FamousSparrow. Bár a célpontok általában ugyanabból az iparágból származnak, az Egyesült Államoktól a Fülöp-szigeteken, Németországon, Tajvanon, Malajziáig és Dél-Afrikáig terjednek.

Az Earth Estries előszeretettel használja a DLL oldalbetöltését a három egyéni rosszindulatú program – két hátsó ajtó és egy infostealer – valamelyikének futtatásához, valamint más eszközöket, például a Cobalt Strike-ot. „Az Earth Estries mögött álló fenyegetés szereplői magas szintű erőforrásokkal dolgoznak, és kifinomult készségekkel és tapasztalattal rendelkeznek a kiberkémkedés és a tiltott tevékenységek terén” – írták a Trend Micro kutatói.

Earth Estries eszközkészlet

Az Earth Estries három egyedi kártevő-eszközzel rendelkezik: Zingdoor, TrillClient és HemiGate.

A Zingdoor egy HTTP-hátsó ajtó, amelyet először 2022 júniusában fejlesztettek ki, és azóta csak korlátozott példányokban helyezték üzembe. Golang nyelven van megírva (Go), platformok közötti képességeket biztosítva számára, és tele van UPX-szel. Lekérheti a rendszer és a Windows szolgáltatások adatait; fájlok felsorolása, feltöltése vagy letöltése; és tetszőleges parancsokat futtasson egy gazdagépen.

A TrillClient egy kombinált telepítő és infostealer, szintén Go nyelven íródott, és egy Windows kabinetfájlba (.cab) van csomagolva. A lopót úgy tervezték, hogy gyűjtse a böngésző hitelesítő adatait, és további lehetőséget biztosít a parancsra vagy véletlenszerű időközönként történő cselekvésre vagy alvásra, az észlelés elkerülése érdekében. A Zingdoor mellett egy egyedi obfuszkátort is tartalmaz, amelyet az elemző eszközök csonkjára terveztek.

A csoport legsokoldalúbb eszköze a hátsó ajtós HemiGate. Ez a többpéldányos, minden egyben kártevő olyan funkciókat tartalmaz, mint a billentyűnaplózás, a képernyőképek rögzítése, a parancsok futtatása, valamint a fájlok, könyvtárak és folyamatok figyelése, hozzáadása, törlése és szerkesztése. 

Föld Estries módszerei

Áprilisban a kutatók megfigyelték, hogy az Earth Estries rendszergazdai jogosultságokkal rendelkező feltört fiókokat használ a szervezet belső szervereinek megfertőzésére; nem ismert, hogy milyen eszközökkel törték fel ezeket a fiókokat. Elültette a Cobalt Strike-ot, hogy megvegye a lábát a rendszerben, majd a szerver üzenetblokkját (SMB) és a WMI parancssort használta, hogy saját rosszindulatú programját hozza a pártba.

Módszereiben az Earth Estries tiszta, megfontolt működés benyomását kelti.

Például a rosszindulatú program futtatásához egy gazdagépen megbízhatóan választja a DLL oldalbetöltésének trükkös módszere. A kutatók kifejtették: „a fenyegetés szereplői rendszeresen megtisztították meglévő hátsó ajtóikat minden egyes műveleti kör befejezése után, és egy új rosszindulatú programot telepítettek át, amikor újabb kört indítottak. Úgy gondoljuk, hogy ezt azért teszik, hogy csökkentsék az expozíció és az észlelés kockázatát.”

A DLL oldalbetöltés és a csoport által használt másik eszköz – Fastly CDN – népszerűek APT41 alcsoportok, mint például a Föld Longzhi. A Trend Micro átfedéseket is talált az Earth Estries és a FamousSparrow hátsó ajtós betöltője között. Ennek ellenére az Earth Estries pontos eredete nem tisztázott. Az sem segít, hogy C2-es infrastruktúrája öt kontinensen terül el, és lefedi a Föld összes féltekét: Kanadától Ausztráliáig, Finnországtól Laoszig, a legmagasabb koncentrációban az Egyesült Államokban és Indiában.

A kutatók hamarosan többet is megtudhatnak a csoportról, mivel a kormány és a technológiai szervezetek elleni kampánya világszerte a mai napig tart.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• ChartPrime. Emelje fel kereskedési játékát a ChartPrime segítségével. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware