Các cuộc tấn công APT từ 'Earth Estries' tấn công chính phủ, công nghệ với phần mềm độc hại tùy chỉnh

Một tác nhân đe dọa mới được xác định đang âm thầm đánh cắp thông tin từ các chính phủ và tổ chức công nghệ trên toàn cầu.

Chiến dịch đang diễn ra được thực hiện nhờ sự hỗ trợ của “Earth Estries”. Nhóm chưa được biết đến trước đây đã tồn tại ít nhất từ ​​năm 2020, theo một báo cáo mới từ Trend Microvà trùng lặp ở một mức độ nào đó với một bộ trang phục gián điệp mạng khác, FamousSparrow. Mặc dù các mục tiêu có xu hướng đến từ cùng một số ngành nhưng chúng trải rộng trên toàn cầu từ Mỹ đến Philippines, Đức, Đài Loan, Malaysia và Nam Phi.

Earth Estries có thiên hướng sử dụng tính năng tải phụ DLL để chạy bất kỳ phần mềm độc hại tùy chỉnh nào trong số ba phần mềm độc hại tùy chỉnh của nó — hai cửa hậu và một trình đánh cắp thông tin — cùng với các công cụ khác như Cobalt Strike. Các nhà nghiên cứu của Trend Micro viết: “Các tác nhân đe dọa đằng sau Earth Estries đang làm việc với các nguồn lực cấp cao và hoạt động với các kỹ năng cũng như kinh nghiệm phức tạp trong hoạt động gián điệp mạng và các hoạt động bất hợp pháp”.

Bộ công cụ của Earth Estries

Earth Estries sở hữu ba công cụ phần mềm độc hại độc đáo: Zingdoor, TrillClient và HemiGate.

Zingdoor là một backdoor HTTP được phát triển lần đầu tiên vào tháng 2022 năm XNUMX, kể từ đó chỉ được triển khai trong một số trường hợp hạn chế. Nó được viết bằng Golang (Go), cung cấp cho nó khả năng đa nền tảngvà được đóng gói với UPX. Nó có thể truy xuất thông tin hệ thống và dịch vụ Windows; liệt kê, tải lên hoặc tải xuống các tập tin; và chạy các lệnh tùy ý trên máy chủ.

TrillClient là trình cài đặt kết hợp và trình đánh cắp thông tin, cũng được viết bằng Go và được đóng gói trong tệp nội các Windows (.cab). Kẻ đánh cắp được thiết kế để thu thập thông tin xác thực của trình duyệt, với khả năng bổ sung để hành động hoặc ngủ theo lệnh hoặc theo các khoảng thời gian ngẫu nhiên, với mục tiêu tránh bị phát hiện. Cùng với Zingdoor, nó có một bộ làm mờ tùy chỉnh được thiết kế để ngăn chặn các công cụ phân tích.

Công cụ đa diện nhất của nhóm là HemiGate cửa sau. Phần mềm độc hại đa phiên bản, tất cả trong một này bao gồm các tính năng ghi nhật ký thao tác bàn phím, chụp ảnh màn hình, chạy lệnh và giám sát, thêm, xóa và chỉnh sửa tệp, thư mục và quy trình. 

Phương pháp của Earth Estries

Vào tháng XNUMX, các nhà nghiên cứu đã quan sát thấy Earth Estries sử dụng các tài khoản bị xâm nhập có đặc quyền quản trị để lây nhiễm vào máy chủ nội bộ của tổ chức; vẫn chưa xác định được cách thức mà những tài khoản đó bị xâm phạm. Nó cài Cobalt Strike để thiết lập chỗ đứng trong hệ thống, sau đó sử dụng khối thông báo máy chủ (SMB) và dòng lệnh WMI để mang phần mềm độc hại của riêng mình vào nhóm.

Trong các phương pháp của mình, Earth Estries tạo ấn tượng về một hoạt động có chủ ý và rõ ràng.

Ví dụ: để thực thi phần mềm độc hại trên máy chủ, nó sẽ chọn phương pháp tải DLL phức tạp. Và, các nhà nghiên cứu giải thích, “những kẻ đe dọa thường xuyên dọn dẹp cửa sau hiện có của chúng sau khi kết thúc mỗi vòng hoạt động và triển khai lại một phần mềm độc hại mới khi chúng bắt đầu một vòng khác. Chúng tôi tin rằng họ làm điều này để giảm nguy cơ bị phơi nhiễm và phát hiện.”

Tải DLL và một công cụ khác mà nhóm sử dụng - Fastly CDN - rất phổ biến Các nhóm phụ APT41 như Earth Longzhi. Trend Micro cũng tìm thấy sự chồng chéo giữa trình tải cửa sau của Earth Estries và FamousSparrow. Tuy nhiên, nguồn gốc chính xác của Earth Estries vẫn chưa rõ ràng. Điều đó cũng không giúp ích được gì khi cơ sở hạ tầng C2 của nó trải rộng khắp năm châu lục, trải dài trên tất cả các bán cầu của trái đất: từ Canada đến Úc, Phần Lan đến Lào, tập trung cao nhất ở Mỹ và Ấn Độ.

Các nhà nghiên cứu có thể sớm tìm hiểu thêm về nhóm này vì chiến dịch chống lại các tổ chức chính phủ và công nghệ trên toàn thế giới của nhóm này vẫn đang tiếp diễn cho đến ngày nay.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware