Earth Estries нацелена на правительство и технологии для кибершпионажа

Мы раскрываем новую кампанию кибершпионажа, развернутую киберпреступной группировкой, которую мы назвали Earth Estries. Анализируя используемые тактики, методы и процедуры (TTP), мы заметили совпадение с группой продвинутых постоянных угроз (APT) FamousSparrow, поскольку Earth Estries нацелена на правительства и организации в технологическом секторе.

Автор: Тед Ли, Ленарт Бермеджо, Хара Хироаки, Леон М. Чанг, Гилберт Сисон 30 августа 2023 г. Время чтения: (слова)

Сохранить в фолио

Ранее в этом году мы обнаружили новую кампанию кибершпионажа, проводимую хакерской группой, которую мы назвали Earth Estries. Согласно нашим наблюдениям, Earth Estries активна как минимум с 2020 года. Мы также обнаружили некоторые совпадения между тактикой, методами и процедурами (TTP), используемыми Earth Estries, и теми, которые используются другой группой продвинутых постоянных угроз (APT), FamousSparrow.

Судя по общему обзору инструментов и методов, используемых в этой продолжающейся кампании, мы считаем, что злоумышленники, стоящие за Earth Estries, работают с ресурсами высокого уровня и обладают сложными навыками и опытом в кибершпионаже и незаконной деятельности. Злоумышленники также используют множество бэкдоров и хакерских инструментов для расширения векторов вторжений. Чтобы оставить как можно меньше следов, они используют атаки на понижение версии PowerShell, чтобы избежать обнаружения механизмом журнала интерфейса сканирования антивирусных программ Windows (AMSI). Кроме того, злоумышленники злоупотребляют публичными сервисами, такими как Github, Gmail, AnonFiles и File.io, для обмена или передачи команд и украденных данных.

Эта активная кампания нацелена на организации в правительстве и технологических отраслях, базирующиеся на Филиппинах, Тайване, Малайзии, Южной Африке, Германии и США. В этой статье мы подробно описываем наши выводы и технический анализ, чтобы помочь группам безопасности и организациям проверить состояние своих соответствующих цифровых активов и улучшить существующие конфигурации безопасности.

Вектор заражения

Мы обнаружили, что Earth Estries компрометирует существующие учетные записи с правами администратора после успешного заражения одного из внутренних серверов организации. Установив Cobalt Strike в системе, участники Earth Estries смогли развернуть больше вредоносных программ и выполнить горизонтальное перемещение. Через блок сообщений сервера (SMB) и командную строку WMI (WMIC) злоумышленники распространяли бэкдоры и инструменты взлома на другие машины в среде жертвы. В конце каждого раунда операций в серии развертываний они архивировали собранные данные из указанной папки. Согласно нашим образцам и анализу, злоумышленники нацелены на файлы PDF и DDF, которые они загружают в онлайн-хранилища AnonFiles или File.io с помощью Curl.exe.

Мы также отметили, что злоумышленники регулярно очищали свой существующий бэкдор после завершения каждого раунда операции и повторно развертывали новое вредоносное ПО, когда начинали следующий раунд. Мы считаем, что они делают это, чтобы снизить риск заражения и обнаружения.

Бэкдор и инструменты для взлома

Мы наблюдали, как злоумышленники использовали в этой кампании различные инструменты, в том числе средства кражи информации, кражи данных браузера и сканеры портов. В этом разделе мы сосредоточимся на недавно обнаруженных и заслуживающих внимания наборах инструментов и обсудим их технические детали.

Зингдур

Zingdoor — новый HTTP-бэкдор, написанный на Go. Хотя мы впервые столкнулись с Zingdoor в апреле 2023 года, некоторые журналы указывают на то, что самые ранние разработки этого бэкдора произошли в июне 2022 года. Однако в дикой природе его редко можно было увидеть, и было замечено, что он использовался лишь ограниченным числом жертв, вероятно. как недавно разработанный бэкдор с кроссплатформенными возможностями. Zingdoor упакован с использованием UPX и сильно запутан специальным движком обфускатора.

Мы отметили, что Zingdoor использует методы распаковки, препятствующие UPX. Обычно магическим числом UPX является «UPX!», но в данном случае оно было изменено на «MSE!», и приложение UPX не может распаковать этот измененный файл. Этот метод прост и подходит для вредоносных программ Интернета вещей (IoT), но в APT-деятельности он считается редким.