Serangan APT Dari 'Earth Estries' Menghantam Pemerintah, Teknologi Dengan Malware Khusus

Aktor ancaman yang baru teridentifikasi diam-diam mencuri informasi dari pemerintah dan organisasi teknologi di seluruh dunia.

Kampanye yang sedang berlangsung ini berasal dari “Earth Estries.” Kelompok yang sebelumnya tidak diketahui ini telah ada setidaknya sejak tahun 2020, menurut laporan baru dari Trend Micro, dan sampai taraf tertentu tumpang tindih dengan pakaian spionase dunia maya lainnya, FamousSparrow. Meskipun target cenderung berasal dari beberapa industri yang sama, target tersebut tersebar di seluruh dunia mulai dari Amerika hingga Filipina, Jerman, Taiwan, Malaysia, dan Afrika Selatan.

Earth Estries cenderung menggunakan sideloading DLL untuk menjalankan salah satu dari tiga malware khusus — dua pintu belakang, dan pencuri info — bersama dengan alat lain seperti Cobalt Strike. “Para pelaku ancaman di balik Earth Estries bekerja dengan sumber daya tingkat tinggi dan berfungsi dengan keterampilan dan pengalaman canggih dalam spionase dunia maya dan aktivitas terlarang,” tulis peneliti Trend Micro.

Perangkat Earth Estries

Earth Estries memiliki tiga alat malware unik: Zingdoor, TrillClient, dan HemiGate.

Zingdoor adalah pintu belakang HTTP yang pertama kali dikembangkan pada Juni 2022, dan sejak itu diterapkan hanya dalam jumlah terbatas. Itu tertulis dalam Golang (Pergi), memberinya kemampuan lintas platform, dan dikemas dengan UPX. Itu dapat mengambil informasi sistem dan layanan Windows; menghitung, mengunggah, atau mengunduh file; dan menjalankan perintah sewenang-wenang pada mesin host.

TrillClient adalah penginstal kombinasi dan infostealer, juga ditulis dalam Go, dan dikemas dalam file kabinet Windows (.cab). Pencuri ini dirancang untuk mengumpulkan kredensial browser, dengan kemampuan tambahan untuk bertindak atau tidur sesuai perintah, atau pada interval acak, dengan tujuan menghindari deteksi. Bersama dengan Zingdoor, ia menggunakan obfuscator khusus yang dirancang untuk menghentikan alat analisis.

Alat grup yang paling beragam adalah pintu belakang HemiGate. Malware multi-instance dan all-in-one ini mencakup fitur untuk keylogging, menangkap tangkapan layar, menjalankan perintah, dan memantau, menambah, menghapus, dan mengedit file, direktori, dan proses. 

Metode Earth Estries

Pada bulan April, para peneliti mengamati Earth Estries menggunakan akun yang disusupi dengan hak administratif untuk menginfeksi server internal organisasi; cara bagaimana akun-akun tersebut disusupi tidak diketahui. Ia menanam Cobalt Strike untuk membangun pijakan dalam sistem, kemudian menggunakan blok pesan server (SMB) dan baris perintah WMI untuk membawa malware-nya sendiri ke pesta tersebut.

Dalam metodenya, Earth Estries memberikan kesan pengoperasian yang bersih dan disengaja.

Misalnya, untuk mengeksekusi malware-nya di mesin host, ia memilihnya dengan andal metode sideloading DLL yang rumit. Dan, para peneliti menjelaskan, “pelaku ancaman secara teratur membersihkan pintu belakang mereka yang ada setelah menyelesaikan setiap putaran operasi dan menyebarkan malware baru ketika mereka memulai putaran berikutnya. Kami yakin mereka melakukan ini untuk mengurangi risiko paparan dan deteksi.”

Sideload DLL dan alat lain yang digunakan grup — Fastly CDN — sangat populer Sub grup APT41 seperti Earth Longzhi. Trend Micro juga menemukan tumpang tindih antara backdoor loader Earth Estries dan FamousSparrow. Namun, asal muasal Earth Estries masih belum jelas. Hal yang juga tidak membantu adalah infrastruktur C2-nya tersebar di lima benua, mencakup seluruh belahan bumi: dari Kanada hingga Australia, Finlandia hingga Laos, dengan konsentrasi tertinggi di AS dan India.

Para peneliti mungkin akan segera mengetahui lebih banyak tentang kelompok ini, karena kampanye mereka melawan pemerintah dan organisasi teknologi di seluruh dunia masih berlangsung hingga saat ini.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware