新たに特定された脅威アクターが、世界中の政府やテクノロジー組織から密かに情報を盗んでいます。
進行中のキャンペーンは「Earth Estries」のご厚意により実施されます。 によると、これまで知られていなかったグループは少なくとも2020年から存在していたという。 トレンドマイクロからの新しいレポートとある程度重複します。 別のサイバースパイ組織、FamousSparrow。 ターゲットは同じいくつかの業界から来る傾向がありますが、米国からフィリピン、ドイツ、台湾、マレーシア、南アフリカに至るまで、世界中に広がっています。
Earth Estries は、Cobalt Strike などの他のツールとともに、DLL サイドローディングを使用して XNUMX つのカスタム マルウェア (XNUMX つのバックドアとインフォスティーラー) のいずれかを実行する傾向があります。 「Earth Estries の背後にある脅威アクターは、高度なリソースを活用し、サイバースパイ行為や違法行為における高度なスキルと経験を駆使して活動しています」とトレンドマイクロの研究者は書いています。
Earth Estries のツールセット
Earth Estries は、Zingdoor、TrillClient、HemiGate という XNUMX つの独自のマルウェア ツールを所有しています。
Zingdoor は 2022 年 XNUMX 月に初めて開発された HTTP バックドアで、それ以降は限られたインスタンスのみにデプロイされています。 Golang (Go) で書かれており、 クロスプラットフォーム機能を提供する、UPXで梱包されています。 システムおよび Windows サービス情報を取得できます。 ファイルを列挙、アップロード、またはダウンロードします。 ホスト マシン上で任意のコマンドを実行します。
TrillClient は、インストーラーとインフォスティーラーを組み合わせたもので、これも Go で記述され、Windows キャビネット ファイル (.cab) にパッケージ化されています。 スティーラーはブラウザの資格情報を収集するように設計されており、検出を回避することを目的として、コマンドに応じて、またはランダムな間隔で動作またはスリープする機能が追加されています。 Zingdoor とともに、切り株分析ツールを目的として設計されたカスタム難読化ツールも備えています。
このグループの最も多面的なツールは、バックドア HemiGate です。 このマルチインスタンスのオールインワン マルウェアには、キーロギング、スクリーンショットのキャプチャ、コマンドの実行、ファイル、ディレクトリ、プロセスの監視、追加、削除、編集の機能が含まれています。
Earth Estries のメソッド
XNUMX 月、研究者らは Earth Estries が管理者特権を持つ侵害されたアカウントを使用して組織の内部サーバーに感染していることを観察しました。 これらのアカウントが侵害された手段は不明です。 Cobalt Strike を仕掛けてシステム内に足場を築き、サーバー メッセージ ブロック (SMB) と WMI コマンド ラインを使用して独自のマルウェアを侵入させました。
Earth Estries の手法は、クリーンで計画的な運営の印象を与えます。
たとえば、ホスト マシン上でマルウェアを実行するには、次のものを確実に選択します。 DLL サイドローディングのトリッキーな方法。 そして研究者らは、「攻撃者は各ラウンドの操作終了後に定期的に既存のバックドアをクリーンアップし、次のラウンドを開始する際に新しいマルウェアを再展開した」と説明した。 私たちは、彼らが暴露と検出のリスクを減らすためにこれを行っていると信じています。」
DLL サイドローディングと、グループが使用するもう XNUMX つのツールである Fastly CDN は、以下の人々に人気があります。 Earth Longzhi のような APT41 サブグループ。 トレンドマイクロは、Earth Estries のバックドア ローダーと FamousSparrow のバックドア ローダーの間に重複があることも発見しました。 それでも、アースエストリーの正確な起源は不明です。 また、その C2 インフラがカナダからオーストラリア、フィンランドからラオスに至るまで、地球の全半球を網羅する XNUMX つの大陸にまたがっており、米国とインドに最も集中していることも役に立ちません。
世界中で政府やテクノロジー組織に対するキャンペーンが現在も続いているため、研究者らは近いうちにこのグループについてさらに詳しく知ることになるかもしれない。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware
- :持っている
- :は
- 2020
- 2022
- 7
- a
- 能力
- 私たちについて
- 従った
- アカウント
- 越えて
- 行為
- 活動
- 俳優
- 追加されました
- 追加
- 行政の
- アフリカ
- 後
- に対して
- すべて
- オールインワン
- 沿って
- また
- an
- 分析
- および
- 別の
- どれか
- 4月
- APT
- です
- 周りに
- AS
- At
- 攻撃
- オーストラリア
- 回避
- 裏口
- バックドア
- 背後に
- 信じる
- の間に
- ブロック
- 持って来る
- ブラウザ
- by
- キャンペーン
- 缶
- カナダ
- キャプチャ
- コバルト
- 収集する
- 組み合わせ
- 来ます
- comes
- 損害を受けた
- 濃度
- カップル
- Credentials
- カスタム
- サイバー
- 度
- 展開
- 設計
- 検出
- 発展した
- ディレクトリ
- do
- doesnの
- ダウンロード
- 各
- EARTH
- どちら
- スパイ
- 確立する
- 例
- 実行します
- 既存の
- 体験
- 説明
- 暴露
- 特徴
- File
- Finland
- 名
- 五
- 発見
- から
- 機能します
- ドイツ
- 与える
- 世界
- Go
- 目標
- 政府・公共機関
- 政府
- グループ
- グループの
- 助けます
- 半球
- ハイレベル
- 最高
- ヒット
- host
- HTML
- HTTP
- HTTPS
- 特定され
- 不法
- in
- 含ま
- インド
- 産業
- 情報
- インフラ関連事業
- 内部
- IT
- ITS
- JPG
- 六月
- LEARN
- 最低
- ような
- 限定的
- LINE
- ローダ
- 機械
- マレーシア
- マルウェア
- 五月..
- 手段
- メッセージ
- 方法
- メソッド
- マイクロ
- モニタリング
- 他には?
- 最も
- 多面
- 新作
- 新しく
- of
- on
- 継続
- の
- 操作
- オプト
- or
- 組織
- 組織
- 起源
- その他
- 自分の
- パッケージ化された
- パック
- パーティー
- フィリピン
- ピース
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- 前に
- 特権
- ラボレーション
- 静かに
- ランダム
- 減らします
- 定期的に
- 残っている
- レポート
- 研究者
- リソース
- リスク
- 円形
- ラン
- ランニング
- s
- 同じ
- スクリーンショット
- サーバー
- サービス
- サイドローディング
- から
- スキル
- 眠る
- SMB
- 一部
- すぐに
- 洗練された
- サウス
- 南アフリカ共和国
- スパン
- 緊張
- スポーツ
- 広がる
- 開始
- まだ
- ストライキ
- 台湾
- ターゲット
- テク
- テクノロジー
- それ
- フィリピン
- 世界
- アプリ環境に合わせて
- その後
- 彼ら
- この
- それらの
- しかし?
- 脅威
- 脅威アクター
- 三
- 〜へ
- 今日
- ツール
- 豊富なツール群
- トレンド
- 2
- ユニーク
- 未知の
- us
- 中古
- 使用されます
- we
- した
- いつ
- which
- ウィンドウズ
- ワーキング
- 世界
- 書かれた
- 書いた
- ゼファーネット