Ataki APT ze strony „Earth Estries” uderzają w rząd, technologię i niestandardowe złośliwe oprogramowanie

Nowo zidentyfikowany ugrupowanie zagrażające po cichu kradnie informacje od rządów i organizacji technologicznych na całym świecie.

Trwająca kampania odbywa się dzięki uprzejmości „Earth Estries”. Według nich nieznana wcześniej grupa istnieje co najmniej od 2020 roku nowy raport Trend Microi w pewnym stopniu pokrywa się z kolejna grupa cyberszpiegowska, FamousSparrow. Chociaż cele zwykle pochodzą z tych samych branż, obejmują one cały świat, od Stanów Zjednoczonych po Filipiny, Niemcy, Tajwan, Malezję i Republikę Południowej Afryki.

Earth Estries ma skłonność do bocznego ładowania bibliotek DLL do uruchamiania dowolnego z trzech niestandardowych szkodliwych programów — dwóch backdoorów i narzędzia kradnącego informacje — wraz z innymi narzędziami, takimi jak Cobalt Strike. „Podmioty zagrażające stojące za Earth Estries korzystają z zasobów wysokiego szczebla oraz dysponują wyrafinowanymi umiejętnościami i doświadczeniem w zakresie cyberszpiegostwa i nielegalnej działalności” – napisali badacze Trend Micro.

Zestaw narzędzi Earth Estries

Earth Estries posiada trzy unikalne narzędzia szkodliwego oprogramowania: Zingdoor, TrillClient i HemiGate.

Zingdoor to backdoor HTTP opracowany po raz pierwszy w czerwcu 2022 r. i od tego czasu wdrażany tylko w ograniczonych przypadkach. Jest napisane w Golang (Go), zapewniając mu możliwości wieloplatformowei zapakowany w UPX. Może pobierać informacje o systemie i usługach Windows; wyliczać, przesyłać lub pobierać pliki; i uruchamiaj dowolne polecenia na komputerze hosta.

TrillClient to połączenie instalatora i narzędzia do kradzieży informacji, również napisane w języku Go i spakowane w pliku Cabinet systemu Windows (.cab). Celem złodzieja jest zbieranie danych uwierzytelniających przeglądarki z dodatkową możliwością działania lub uśpienia na polecenie lub w losowych odstępach czasu, w celu uniknięcia wykrycia. Wraz z Zingdoor posiada niestandardowy obfuscator zaprojektowany z myślą o narzędziach do analizy pniaków.

Najbardziej wszechstronnym narzędziem tej grupy jest backdoor HemiGate. To wieloinstancyjne, wszechstronne złośliwe oprogramowanie obejmuje funkcje rejestrowania naciśnięć klawiszy, przechwytywania zrzutów ekranu, uruchamiania poleceń oraz monitorowania, dodawania, usuwania i edytowania plików, katalogów i procesów. 

Metody Earth Estries

W kwietniu badacze zaobserwowali, że Earth Estries używa przejętych kont z uprawnieniami administracyjnymi do infekowania wewnętrznych serwerów organizacji; sposób, w jaki włamano się na te konta, jest nieznany. Zainstalował Cobalt Strike, aby zdobyć przyczółek w systemie, a następnie wykorzystał blok komunikatów serwera (SMB) i wiersz poleceń WMI, aby wprowadzić na imprezę własne szkodliwe oprogramowanie.

W swoich metodach Earth Estries sprawia wrażenie czystego, przemyślanego działania.

Na przykład, aby uruchomić swoje złośliwe oprogramowanie na komputerze hosta, niezawodnie wybiera skomplikowana metoda bocznego ładowania DLL. Ponadto, jak wyjaśnili badacze, „osoby zagrażające regularnie czyściły swoje istniejące backdoory po zakończeniu każdej rundy operacji i ponownie wdrażały nowy szkodliwy program, rozpoczynając kolejną rundę. Uważamy, że robią to, aby zmniejszyć ryzyko narażenia i wykrycia”.

Popularne jest sideloading DLL i inne narzędzie, z którego korzysta grupa — Fastly CDN Podgrupy APT41, takie jak Earth Longzhi. Firma Trend Micro odkryła również, że moduł ładujący backdoor firmy Earth Estries pokrywa się z modułem ładującym FamousSparrow. Mimo to dokładne pochodzenie Earth Estries jest niejasne. Nie pomaga też fakt, że infrastruktura C2 jest rozproszona na pięciu kontynentach, obejmując wszystkie półkule Ziemi: od Kanady po Australię, od Finlandii po Laos, z największą koncentracją w USA i Indiach.

Badacze mogą wkrótce dowiedzieć się więcej o tej grupie, ponieważ jej kampania przeciwko organizacjom rządowym i technologicznym na całym świecie trwa do dziś.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware