Yeni tanımlanan bir tehdit aktörü, dünya genelindeki hükümetlerden ve teknoloji kuruluşlarından sessizce bilgi çalıyor.
Devam eden kampanya “Earth Estries”in izniyle geliyor. Daha önce bilinmeyen grup en az 2020'den beri varlığını sürdürüyor. Trend Micro'dan yeni raporve bir dereceye kadar örtüşüyor Başka bir siber casusluk ekibi, FamousSparrow. Hedefler genellikle aynı sektörlerden gelse de ABD'den Filipinler'e, Almanya'ya, Tayvan'a, Malezya'ya ve Güney Afrika'ya kadar tüm dünyayı kapsıyor.
Earth Estries, Cobalt Strike gibi diğer araçlarla birlikte, iki arka kapı ve bir bilgi hırsızı olmak üzere üç özel kötü amaçlı yazılımdan herhangi birini çalıştırmak için DLL yan yüklemesini kullanma konusunda bir tutkuya sahip. Trend Micro araştırmacıları, "Earth Estries'in arkasındaki tehdit aktörleri, üst düzey kaynaklarla çalışıyor ve siber casusluk ve yasa dışı faaliyetlerde gelişmiş beceri ve deneyimle çalışıyor" diye yazdı.
Earth Estries'in Araç Seti
Earth Estries üç benzersiz kötü amaçlı yazılım aracına sahiptir: Zingdoor, TrillClient ve HemiGate.
Zingdoor, ilk olarak Haziran 2022'de geliştirilen ve o zamandan beri yalnızca sınırlı örneklerde kullanılan bir HTTP arka kapısıdır. Golang (Git) dilinde yazılmıştır, platformlar arası yetenekler sağlıyorve UPX ile paketlenmiştir. Sistem ve Windows hizmetleri bilgilerini alabilir; dosyaları numaralandırmak, yüklemek veya indirmek; ve bir ana makinede rastgele komutlar çalıştırın.
TrillClient, yine Go'da yazılmış ve bir Windows dolap dosyasında (.cab) paketlenmiş bir yükleyici ve bilgi hırsızı birleşimidir. Çalıcı, tespit edilmekten kaçınmak amacıyla, komutla veya rastgele aralıklarla hareket etme veya uyku moduna geçme yeteneğiyle birlikte tarayıcı kimlik bilgilerini toplamak üzere tasarlanmıştır. Zingdoor ile birlikte, analiz araçlarını güdüklemek için tasarlanmış özel bir gizleme aracına sahiptir.
Grubun en çok yönlü aracı arka kapı HemiGate'dir. Bu çok örnekli, hepsi bir arada kötü amaçlı yazılım, tuş günlüğü tutma, ekran görüntüleri yakalama, komutları çalıştırma ve dosya, dizin ve işlemleri izleme, ekleme, silme ve düzenleme özelliklerini içerir.
Earth Estries'in Yöntemleri
Nisan ayında araştırmacılar, Earth Estries'in bir kuruluşun dahili sunucularına virüs bulaştırmak için yönetici ayrıcalıklarına sahip ele geçirilmiş hesapları kullandığını gözlemledi; bu hesapların hangi yollarla ele geçirildiği bilinmiyor. Sistemde bir yer edinmek için Cobalt Strike'ı yerleştirdi, ardından sunucu mesaj bloğunu (SMB) ve WMI komut satırını kullanarak kendi kötü amaçlı yazılımını partiye getirdi.
Earth Estries yöntemlerinde temiz ve bilinçli bir operasyon izlenimi veriyor.
Örneğin, kötü amaçlı yazılımını bir ana makinede yürütmek için güvenilir bir şekilde şunları seçer: DLL'yi yan yüklemenin zorlu yöntemi. Araştırmacılar şunu açıkladı: "Tehdit aktörleri, her operasyon turunu tamamladıktan sonra mevcut arka kapılarını düzenli olarak temizlediler ve yeni bir tur başlattıklarında yeni bir kötü amaçlı yazılım parçasını yeniden yerleştirdiler. Bunu maruz kalma ve tespit edilme riskini azaltmak için yaptıklarına inanıyoruz."
DLL yandan yükleme ve grubun kullandığı başka bir araç olan Fastly CDN, popülerdir Earth Longzhi gibi APT41 alt grupları. Trend Micro ayrıca Earth Estries'in arka kapı yükleyicisi ile FamousSparrow'unki arasında çakışmalar da buldu. Yine de Earth Estries'in kesin kökeni belirsizdir. C2 altyapısının beş kıtaya yayılmış olması ve dünyanın tüm yarıkürelerini kapsaması da işe yaramıyor: Kanada'dan Avustralya'ya, Finlandiya'dan Laos'a, en yüksek yoğunluk ABD ve Hindistan'da.
Dünyanın dört bir yanındaki hükümetlere ve teknoloji kuruluşlarına karşı yürüttüğü kampanya bugün de devam ettiğinden araştırmacılar grup hakkında yakında daha fazla bilgi edinebilir.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware
- :vardır
- :dır-dir
- 2020
- 2022
- 7
- a
- kabiliyet
- Hakkımızda
- Göre
- Hesaplar
- karşısında
- Hareket
- faaliyetler
- aktörler
- katma
- ekleme
- idari
- Afrika
- Sonra
- karşı
- Türkiye
- hepsi bir arada
- boyunca
- Ayrıca
- an
- analiz
- ve
- Başka
- herhangi
- Nisan
- APT
- ARE
- etrafında
- AS
- At
- saldırılar
- Avustralya
- kaçınma
- arka kapı
- arka kapılar
- arkasında
- Inanmak
- arasında
- Engellemek
- getirmek
- tarayıcı
- by
- Kampanya
- CAN
- Kanada
- Yakalama
- Kobalt
- toplamak
- kombinasyon
- nasıl
- geliyor
- Uzlaşılmış
- konsantrasyon
- Çift
- Tanıtım
- görenek
- Siber
- derece
- konuşlandırılmış
- tasarlanmış
- Bulma
- gelişmiş
- dizinleri
- do
- gelmez
- indir
- her
- toprak
- ya
- casusluk
- kurmak
- örnek
- yürütmek
- mevcut
- deneyim
- açıkladı
- Maruz kalma
- Özellikler
- fileto
- dosyalar
- Finlandiya
- Ad
- beş
- İçin
- bulundu
- itibaren
- işleyen
- Almanya
- verir
- dünya
- Go
- gol
- Hükümet
- Hükümetler
- grup
- Grubun
- yardım et
- yarımküreler
- üst düzey
- en yüksek
- vurmak
- ev sahibi
- HTML
- http
- HTTPS
- tespit
- yasadışı
- in
- içerir
- Hindistan
- Endüstri
- bilgi
- Altyapı
- iç
- IT
- ONUN
- jpg
- Haziran
- ÖĞRENİN
- en az
- sevmek
- Sınırlı
- çizgi
- yükleyici
- makine
- Malezya
- kötü amaçlı yazılım
- Mayıs..
- anlamına geliyor
- mesaj
- yöntem
- yöntemleri
- mikro
- izleme
- Daha
- çoğu
- çok yönlü
- yeni
- yeni
- of
- on
- devam
- bir tek
- operasyon
- dolaş
- or
- kuruluşlar
- organizasyonlar
- köken
- Diğer
- kendi
- paketlenmiş
- paketlenmiş
- Parti
- Filipinler
- parça
- Platon
- Plato Veri Zekası
- PlatoVeri
- Popüler
- Önceden
- ayrıcalıklar
- Süreçler
- sessizce
- rasgele
- azaltmak
- düzenli
- kalıntılar
- rapor
- Araştırmacılar
- Kaynaklar
- Risk
- yuvarlak
- koşmak
- koşu
- s
- aynı
- ekran
- Sunucular
- Hizmetler
- Yan yükleme
- beri
- becerileri
- uyku
- SMB
- biraz
- yakında
- sofistike
- güney
- Güney Afrika
- karış
- gerginlik
- Spor
- yayılma
- başladı
- Yine
- grev
- sistem
- Tayvan
- hedefler
- teknoloji
- Teknoloji
- o
- The
- Filipinler
- Dünya
- ve bazı Asya
- sonra
- onlar
- Re-Tweet
- Bu
- gerçi?
- tehdit
- tehdit aktörleri
- üç
- için
- bugün
- araç
- araçlar
- eğilim
- iki
- benzersiz
- bilinmeyen
- us
- Kullanılmış
- kullanım
- kullanma
- we
- vardı
- ne zaman
- hangi
- pencereler
- ile
- çalışma
- Dünya
- yazılı
- yazdı
- zefirnet
