Napadi APT iz 'Earth Estries' so prizadeli vlado, tehnologijo z zlonamerno programsko opremo po meri

Napadi APT iz 'Earth Estries' so prizadeli vlado, tehnologijo z zlonamerno programsko opremo po meri

Časovni žig: 30. avgust 2023 5
Napadi APT iz 'Earth Estries' so prizadeli vlado, tehnologijo s prilagojeno zlonamerno programsko opremo PlatoBlockchain Data Intelligence. Navpično iskanje. Ai.

Na novo identificirani akter grožnje tiho krade informacije vladam in tehnološkim organizacijam po vsem svetu.

Kampanja, ki je v teku, prihaja z dovoljenjem »Earth Estries«. Prej neznana skupina obstaja vsaj od leta 2020, pravi novo poročilo podjetja Trend Microin se do neke mere prekriva z druga kibernetska vohunska enota, FamousSparrow. Čeprav cilji ponavadi prihajajo iz istih dveh industrij, pokrivajo svet od ZDA do Filipinov, Nemčije, Tajvana, Malezije in Južne Afrike.

Earth Estries je nagnjen k uporabi stranskega nalaganja DLL za zagon katere koli od svojih treh zlonamernih programov po meri – dveh stranskih vrat in infostealerja – skupaj z drugimi orodji, kot je Cobalt Strike. »Akterji grožnje za Earth Estries delajo z viri na visoki ravni in delujejo s prefinjenimi veščinami in izkušnjami v kibernetskem vohunjenju in nedovoljenih dejavnostih,« so zapisali raziskovalci Trend Micro.

Set orodij Earth Estries

Earth Estries ima tri edinstvena orodja za zlonamerno programsko opremo: Zingdoor, TrillClient in HemiGate.

Zingdoor je zadnja vrata HTTP, ki je bilo prvič razvito junija 2022, od takrat pa je bilo uvedeno le v omejenih primerih. Napisano je v golang (Go), ki mu omogoča medplatformske zmogljivosti, in pakiran z UPX. Lahko pridobi informacije o sistemu in storitvah Windows; naštevanje, nalaganje ali prenos datotek; in izvajati poljubne ukaze na gostiteljskem računalniku.

TrillClient je kombinacija namestitvenega programa in infostealerja, prav tako napisana v Go in zapakirana v datoteko Windows Cabinet (.cab). Stealer je zasnovan za zbiranje poverilnic brskalnika z dodano možnostjo delovanja ali spanja na ukaz ali v naključnih intervalih, s ciljem izogibanja odkritju. Skupaj z Zingdoorjem ima prikrito orodje po meri, zasnovano za orodja za analizo.

Najbolj večplastno orodje skupine je backdoor HemiGate. Ta zlonamerna programska oprema z več primerki vse v enem vključuje funkcije za beleženje tipk, zajemanje posnetkov zaslona, ​​izvajanje ukazov in spremljanje, dodajanje, brisanje in urejanje datotek, imenikov in procesov. 

Earth Estriesove metode

Aprila so raziskovalci opazili, da Earth Estries uporablja ogrožene račune s skrbniškimi pravicami za okužbo notranjih strežnikov organizacije; način, s katerim so bili ti računi ogroženi, ni znan. Vstavil je Cobalt Strike, da bi vzpostavil oporo v sistemu, nato pa je uporabil blok sporočil strežnika (SMB) in ukazno vrstico WMI, da je na zabavo prinesel lastno zlonamerno programsko opremo.

S svojimi metodami Earth Estries daje vtis čistega, premišljenega delovanja.

Zanesljivo se na primer odloči za izvajanje zlonamerne programske opreme na gostiteljskem računalniku zapletena metoda stranskega nalaganja DLL. Raziskovalci so pojasnili: »Akterji groženj so redno čistili svoja obstoječa stranska vrata po vsakem krogu delovanja in znova razporedili nov del zlonamerne programske opreme, ko so začeli nov krog. Verjamemo, da to počnejo, da zmanjšajo tveganje izpostavljenosti in odkrivanja.«

Stransko nalaganje DLL in drugo orodje, ki ga skupina uporablja – Fastly CDN – sta priljubljena Podskupine APT41, kot je Earth Longzhi. Trend Micro je odkril tudi prekrivanja med stranskim nalagalnikom Earth Estries in FamousSparrow. Kljub temu natančen izvor Zemlje Estries ni jasen. Prav tako ne pomaga, da je njegova infrastruktura C2 razpršena na petih celinah, ki obsegajo vse zemeljske poloble: od Kanade do Avstralije, Finske do Laosa, z največjo koncentracijo v ZDA in Indiji.

Raziskovalci bodo morda kmalu izvedeli več o skupini, saj njena kampanja proti vladnim in tehnološkim organizacijam po vsem svetu še danes poteka.

Časovni žig:

Več od Temno branje