APT-angrep fra 'Earth Estries' Hit Gov't, Tech With Custom Malware

APT-angrep fra 'Earth Estries' Hit Gov't, Tech With Custom Malware

Tidsstempel: 30. august 2023 5:09
APT-angrep fra 'Earth Estries' Hit Gov't, Tech med tilpasset skadelig programvare PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

En nylig identifisert trusselaktør stjeler i det stille informasjon fra myndigheter og teknologiorganisasjoner over hele verden.

Den pågående kampanjen kommer med tillatelse fra "Earth Estries." Den tidligere ukjente gruppen har eksistert siden minst 2020, ifølge en ny rapport fra Trend Micro, og overlapper til en viss grad med et annet cyberspionasjeantrekk, FamousSparrow. Selv om mål har en tendens til å komme fra de samme industriene, spenner de over hele verden fra USA til Filippinene, Tyskland, Taiwan, Malaysia og Sør-Afrika.

Earth Estries har en forkjærlighet for å bruke DLL-sidelasting for å kjøre hvilken som helst av de tre tilpassede skadelige programmene – to bakdører og en infostealer – sammen med andre verktøy som Cobalt Strike. "Trusselaktørene bak Earth Estries jobber med ressurser på høyt nivå og fungerer med sofistikerte ferdigheter og erfaring innen nettspionasje og ulovlige aktiviteter," skrev Trend Micros forskere.

Earth Estries' verktøysett

Earth Estries har tre unike skadevareverktøy: Zingdoor, TrillClient og HemiGate.

Zingdoor er en HTTP-bakdør som først ble utviklet i juni 2022, og ble distribuert i bare begrensede tilfeller siden. Det er skrevet i Golang (Go), gir det funksjoner på tvers av plattformer, og fullpakket med UPX. Den kan hente informasjon om system og Windows-tjenester; oppregne, laste opp eller laste ned filer; og kjør vilkårlige kommandoer på en vertsmaskin.

TrillClient er et kombinasjonsinstallasjonsprogram og infostealer, også skrevet i Go, og pakket i en Windows-kabinettfil (.cab). Styveren er designet for å samle inn nettleserlegitimasjon, med en ekstra evne til å handle eller sove på kommando, eller med tilfeldige intervaller, med mål om å unngå oppdagelse. Sammen med Zingdoor har den en tilpasset obfuscator designet for å stumpe analyseverktøy.

Konsernets mest mangefasetterte verktøy er bakdøren HemiGate. Denne multi-forekomsten, alt-i-ett malware inkluderer funksjoner for tastelogging, ta skjermbilder, kjøre kommandoer og overvåke, legge til, slette og redigere filer, kataloger og prosesser. 

Earth Estries' metoder

I april observerte forskere Earth Estries ved å bruke kompromitterte kontoer med administrative rettigheter for å infisere en organisasjons interne servere; måten disse kontoene ble kompromittert på er ukjent. Den plantet Cobalt Strike for å etablere fotfeste i systemet, og brukte deretter servermeldingsblokk (SMB) og WMI-kommandolinje for å bringe sin egen skadevare til festen.

I sine metoder gir Earth Estries inntrykk av en ren, bevisst operasjon.

For eksempel, for å kjøre sin skadevare på en vertsmaskin, velger den pålitelig den vanskelige metoden for DLL-sidelasting. Og, forklarte forskerne, "trusselaktørene renset regelmessig sin eksisterende bakdør etter å ha fullført hver operasjonsrunde og omdisponerte et nytt stykke skadelig programvare når de startet en ny runde. Vi tror at de gjør dette for å redusere risikoen for eksponering og oppdagelse.»

DLL-sidelasting og et annet verktøy gruppen bruker - Fastly CDN - er populært med APT41 undergrupper som Earth Longzhi. Trend Micro fant også overlappinger mellom Earth Estries bakdørslaster og FamousSparrows. Likevel er den nøyaktige opprinnelsen til Earth Estries uklar. Det hjelper heller ikke at C2-infrastrukturen er spredt over fem kontinenter, som spenner over alle jordens halvkuler: fra Canada til Australia, Finland til Laos, med den høyeste konsentrasjonen i USA og India.

Forskere kan snart lære mer om gruppen, ettersom kampanjen mot regjeringen og teknologiorganisasjoner over hele verden fortsetter i dag.

Tidstempel:

Mer fra Mørk lesning