一个新发现的威胁行为者正在悄悄窃取全球政府和技术组织的信息。
正在进行的活动由“Earth Estries”提供。 据报道,这个之前未知的组织至少自 2020 年起就已经存在 趋势科技的新报告,并在某种程度上重叠 另一个网络间谍组织 FamousSparrow。 尽管目标往往来自同一几个行业,但它们遍及全球,从美国到菲律宾、德国、台湾、马来西亚和南非。
Earth Estries 喜欢使用 DLL 侧载来运行其三种自定义恶意软件中的任何一种(两个后门和一个信息窃取程序)以及 Cobalt Strike 等其他工具。 趋势科技的研究人员写道:“Earth Estries 背后的威胁行为者正在利用高级资源,并在网络间谍和非法活动方面拥有复杂的技能和经验。”
Earth Estries 的工具集
Earth Estries 拥有三种独特的恶意软件工具:Zingdoor、TrillClient 和 HemiGate。
Zingdoor 是一个 HTTP 后门,首次开发于 2022 年 XNUMX 月,此后仅在有限的实例中部署。 它是用 Golang (Go) 编写的, 提供跨平台功能,并用 UPX 包装。 它可以检索系统和Windows服务信息; 枚举、上传或下载文件; 并在主机上运行任意命令。
TrillClient 是一个安装程序和信息窃取程序的组合,也是用 Go 编写的,并打包在 Windows Cabinet 文件 (.cab) 中。 该窃取程序旨在收集浏览器凭据,并具有按命令或随机间隔执行或休眠的附加功能,目的是避免检测。 它与 Zingdoor 一起配备了一个定制的混淆器,旨在阻止分析工具。
该组织最全面的工具是后门 HemiGate。 这种多实例、一体式恶意软件包括键盘记录、捕获屏幕截图、运行命令以及监视、添加、删除和编辑文件、目录和进程的功能。
Earth Estries 的方法
XNUMX 月份,研究人员观察到 Earth Estries 使用具有管理权限的受感染帐户来感染组织的内部服务器; 这些账户被入侵的方式尚不清楚。 它植入了 Cobalt Strike 以在系统中建立立足点,然后使用服务器消息块 (SMB) 和 WMI 命令行将自己的恶意软件引入该组织。
Earth Estries 的运作方式给人一种干净、谨慎的印象。
例如,要在主机上执行其恶意软件,它会可靠地选择 DLL 旁加载的棘手方法。 研究人员解释说,“威胁行为者在完成每一轮操作后定期清理现有的后门,并在开始另一轮操作时重新部署新的恶意软件。 我们相信他们这样做是为了降低暴露和检测的风险。”
DLL 侧载和该组织使用的另一个工具 - Fastly CDN - 很受欢迎 APT41 子组织如地球龙之。 趋势科技还发现 Earth Estries 的后门加载程序与 FamousSparrow 的后门加载程序之间存在重叠。 尽管如此,地球东部的确切起源仍不清楚。 它的C2基础设施遍布五大洲,横跨地球的所有半球:从加拿大到澳大利亚,芬兰到老挝,其中最集中在美国和印度,这也无济于事。
研究人员可能很快就会对该组织有更多了解,因为该组织针对世界各地政府和技术组织的活动至今仍在继续。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
- 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
- 柏拉图ESG。 汽车/电动汽车, 碳, 清洁科技, 能源, 环境, 太阳能, 废物管理。 访问这里。
- 柏拉图健康。 生物技术和临床试验情报。 访问这里。
- 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
- 块偏移量。 现代化环境抵消所有权。 访问这里。
- Sumber: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware
- :具有
- :是
- 2020
- 2022
- 7
- a
- 对,能力--
- 关于
- 根据
- 账户
- 横过
- 法案
- 活动
- 演员
- 添加
- 添加
- 行政
- 非洲
- 后
- 驳
- 所有类型
- 一体
- 沿
- 还
- an
- 分析
- 和
- 另一个
- 任何
- 四月
- APT
- 保健
- 围绕
- AS
- At
- 攻击
- 澳大利亚
- 避免
- 后门
- 后门程序
- 背后
- 相信
- 之间
- 阻止
- 带来
- 浏览器
- by
- 营销活动
- CAN
- 加拿大
- 捕获
- 钴
- 收集
- 组合
- 如何
- 购买的订单均
- 妥协
- 浓度
- 情侣
- 资历
- 习俗
- 网络
- 学位
- 部署
- 设计
- 检测
- 发达
- 目录
- do
- 不会
- 下载
- 每
- 地球
- 或
- 间谍
- 建立
- 例子
- 执行
- 现有
- 体验
- 解释
- 曝光
- 特征
- 文件
- 档
- 芬兰
- (名字)
- 五
- 针对
- 发现
- 止
- 运作
- 德国
- 给
- 地球
- Go
- 目标
- 政府
- 各国政府
- 团队
- 组的
- 帮助
- 半球
- 高水平
- 最高
- 击中
- 主持人
- HTML
- HTTP
- HTTPS
- 确定
- 非法的
- in
- 包括
- 印度
- 行业
- 信息
- 基础设施
- 内部
- IT
- 它的
- JPG
- 六月
- 学习用品
- 最少
- 喜欢
- 有限
- Line
- 装载机
- 机
- 马来西亚
- 恶意软件
- 可能..
- 手段
- 的话
- 方法
- 方法
- 微
- 监控
- 更多
- 最先进的
- 多面的
- 全新
- 新
- of
- on
- 正在进行
- 仅由
- 操作
- 选择
- or
- 组织
- 组织
- 起源
- 其他名称
- 己
- συσκευάζονται
- 包装
- 党
- 菲律宾
- 片
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 热门
- 先前
- 权限
- 过程
- 悄悄
- 随机
- 减少
- 经常
- 遗迹
- 报告
- 研究人员
- 资源
- 风险
- 圆
- 运行
- 运行
- s
- 同
- 截图
- 服务器
- 特色服务
- 侧面加载
- 自
- 技能
- 睡觉
- SMB
- 一些
- 或很快需要,
- 极致
- 南部
- 南非
- 跨度
- 张力
- 运动
- 传播
- 开始
- 仍
- 罢工
- 系统
- 台湾
- 目标
- 科技
- 专业技术
- 这
- 菲律宾人
- 世界
- 其
- 然后
- 他们
- Free Introduction
- 那些
- 虽然?
- 威胁
- 威胁者
- 三
- 至
- 今晚
- 工具
- 工具
- 趋势
- 二
- 独特
- 不明
- us
- 用过的
- 使用
- 运用
- we
- 为
- ,尤其是
- 这
- 窗户
- 加工
- 世界
- 书面
- 写
- 和风网