来自“Earth Estries”的 APT 攻击通过定制恶意软件袭击政府和技术

一个新发现的威胁行为者正在悄悄窃取全球政府和技术组织的信息。

正在进行的活动由“Earth Estries”提供。 据报道，这个之前未知的组织至少自 2020 年起就已经存在 趋势科技的新报告，并在某种程度上重叠 另一个网络间谍组织 FamousSparrow。 尽管目标往往来自同一几个行业，但它们遍及全球，从美国到菲律宾、德国、台湾、马来西亚和南非。

Earth Estries 喜欢使用 DLL 侧载来运行其三种自定义恶意软件中的任何一种（两个后门和一个信息窃取程序）以及 Cobalt Strike 等其他工具。 趋势科技的研究人员写道：“Earth Estries 背后的威胁行为者正在利用高级资源，并在网络间谍和非法活动方面拥有复杂的技能和经验。”

Earth Estries 的工具集

Earth Estries 拥有三种独特的恶意软件工具：Zingdoor、TrillClient 和 HemiGate。

Zingdoor 是一个 HTTP 后门，首次开发于 2022 年 XNUMX 月，此后仅在有限的实例中部署。 它是用 Golang (Go) 编写的， 提供跨平台功能，并用 UPX 包装。 它可以检索系统和Windows服务信息； 枚举、上传或下载文件； 并在主机上运行任意命令。

TrillClient 是一个安装程序和信息窃取程序的组合，也是用 Go 编写的，并打包在 Windows Cabinet 文件 (.cab) 中。 该窃取程序旨在收集浏览器凭据，并具有按命令或随机间隔执行或休眠的附加功能，目的是避免检测。 它与 Zingdoor 一起配备了一个定制的混淆器，旨在阻止分析工具。

该组织最全面的工具是后门 HemiGate。 这种多实例、一体式恶意软件包括键盘记录、捕获屏幕截图、运行命令以及监视、添加、删除和编辑文件、目录和进程的功能。 

Earth Estries 的方法

XNUMX 月份，研究人员观察到 Earth Estries 使用具有管理权限的受感染帐户来感染组织的内部服务器； 这些账户被入侵的方式尚不清楚。 它植入了 Cobalt Strike 以在系统中建立立足点，然后使用服务器消息块 (SMB) 和 WMI 命令行将自己的恶意软件引入该组织。

Earth Estries 的运作方式给人一种干净、谨慎的印象。

例如，要在主机上执行其恶意软件，它会可靠地选择 DLL 旁加载的棘手方法。 研究人员解释说，“威胁行为者在完成每一轮操作后定期清理现有的后门，并在开始另一轮操作时重新部署新的恶意软件。 我们相信他们这样做是为了降低暴露和检测的风险。”

DLL 侧载和该组织使用的另一个工具 - Fastly CDN - 很受欢迎 APT41 子组织如地球龙之。 趋势科技还发现 Earth Estries 的后门加载程序与 FamousSparrow 的后门加载程序之间存在重叠。 尽管如此，地球东部的确切起源仍不清楚。 它的C2基础设施遍布五大洲，横跨地球的所有半球：从加拿大到澳大利亚，芬兰到老挝，其中最集中在美国和印度，这也无济于事。

研究人员可能很快就会对该组织有更多了解，因为该组织针对世界各地政府和技术组织的活动至今仍在继续。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/attacks-breaches/-apt-attacks-from-earth-estries-hit-govt-tech-with-custom-malware