APT-aanvallen van 'Earth Estries' treffen overheid en technologie met aangepaste malware

Een nieuw geïdentificeerde dreigingsactor steelt stilletjes informatie van overheden en technologieorganisaties over de hele wereld.

De lopende campagne komt met dank aan ‘Earth Estries’. De voorheen onbekende groep bestaat volgens hem al sinds 2020 een nieuw rapport van Trend Micro, en overlapt tot op zekere hoogte met een andere cyberspionage-outfit, FamousSparrow. Hoewel de doelwitten doorgaans afkomstig zijn uit dezelfde bedrijfstakken, bestrijken ze de hele wereld, van de VS tot de Filipijnen, Duitsland, Taiwan, Maleisië en Zuid-Afrika.

Earth Estries heeft een voorliefde voor het gebruik van DLL-sideloading om een ​​van de drie aangepaste malware uit te voeren – twee backdoors en een infostealer – samen met andere tools zoals Cobalt Strike. “De dreigingsactoren achter Earth Estries werken met middelen van hoog niveau en functioneren met geavanceerde vaardigheden en ervaring op het gebied van cyberspionage en illegale activiteiten”, schreven de onderzoekers van Trend Micro.

De toolset van Earth Estries

Earth Estries beschikt over drie unieke malwaretools: Zingdoor, TrillClient en HemiGate.

Zingdoor is een HTTP-backdoor die voor het eerst werd ontwikkeld in juni 2022 en sindsdien slechts in een beperkt aantal gevallen is geïmplementeerd. Het is geschreven in Golang (Go), waardoor het platformonafhankelijke mogelijkheden krijgt, en verpakt met UPX. Het kan systeem- en Windows-service-informatie ophalen; bestanden opsommen, uploaden of downloaden; en willekeurige opdrachten uitvoeren op een hostmachine.

TrillClient is een combinatie-installatieprogramma en infostealer, ook geschreven in Go, en verpakt in een Windows-kastbestand (.cab). De stealer is ontworpen om browsergegevens te verzamelen, met een extra mogelijkheid om op commando of met willekeurige tussenpozen te handelen of te slapen, met als doel detectie te voorkomen. Samen met Zingdoor beschikt het over een op maat gemaakte obfuscator die is ontworpen om analysetools voor stronken te gebruiken.

Het meest veelzijdige instrument van de groep is de achterdeur HemiGate. Deze alles-in-één-malware met meerdere instanties bevat functies voor keylogging, het maken van schermafbeeldingen, het uitvoeren van opdrachten en het monitoren, toevoegen, verwijderen en bewerken van bestanden, mappen en processen. 

Methoden van Earth Estries

In april zagen onderzoekers dat Earth Estries gecompromitteerde accounts met beheerdersrechten gebruikte om de interne servers van een organisatie te infecteren; de manier waarop deze accounts zijn gecompromitteerd, is onbekend. Het plantte Cobalt Strike om voet aan de grond te krijgen in het systeem en gebruikte vervolgens server message block (SMB) en WMI-opdrachtregel om zijn eigen malware naar het feest te brengen.

In haar werkwijze wekt Earth Estries de indruk van een schone, weloverwogen operatie.

Om zijn malware bijvoorbeeld op een hostmachine uit te voeren, kiest het betrouwbaar voor de lastige methode van DLL-sideloading. En, zo legden de onderzoekers uit, “de dreigingsactoren maakten regelmatig hun bestaande achterdeur schoon na het beëindigen van elke operatieronde en implementeerden een nieuw stuk malware opnieuw wanneer ze aan een nieuwe ronde begonnen. Wij geloven dat ze dit doen om het risico op blootstelling en detectie te verkleinen.”

DLL-sideloading en een andere tool die de groep gebruikt – Fastly CDN – zijn populair APT41-subgroepen zoals Earth Longzhi. Trend Micro ontdekte ook overlappingen tussen de achterdeurlader van Earth Estries en die van FamousSparrow. Toch is de exacte oorsprong van Earth Estries onduidelijk. Het helpt ook niet dat de C2-infrastructuur verspreid is over vijf continenten, over alle halfronden van de aarde: van Canada tot Australië, van Finland tot Laos, met de hoogste concentratie in de VS en India.

Onderzoekers kunnen binnenkort meer over de groep te weten komen, aangezien de campagne tegen regerings- en technologieorganisaties over de hele wereld nog steeds voortduurt.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware