Η ομάδα Earth Estries κλέβει πληροφορίες από κυβερνήσεις και οργανισμούς τεχνολογίας σε όλο τον κόσμο.
Η εκστρατεία προέρχεται από την “Earth Estries”. Η προηγουμένως άγνωστη ομάδα υπάρχει τουλάχιστον από το 2020, σύμφωνα με έκθεση της Trend Micro, και εκτείνεται μερικώς σε άλλη ομάδα κυβερνοεπιθέσεων, τη FamousSparrow. Παρόλο που οι στόχοι περιορίζονται σε μερικές βιομηχανίες, καλύπτουν τον πλανήτη από τις ΗΠΑ έως τις Φιλιππίνες, τη Γερμανία, την Ταϊβάν, τη Μαλαισία και τη Νότια Αφρική.
Η ομάδα Earth Estries έχει μια έφεση για τη χρήση του DLL sideloading για να εκτελέσει οποιοδήποτε από τα τρία προσαρμοσμένα κακόβουλα λογισμικά της – δύο backdoors και ένα infostealer – μαζί με άλλα εργαλεία όπως το Cobalt Strike. “Οι δράστες πίσω από την Earth Estries δουλεύουν με υψηλού επιπέδου πόρους και λειτουργούν με εξειδικευμένες δεξιότητες και εμπειρία στις κυβερνοεπιθέσεις και τις παράνομες δραστηριότητες”, έγραψαν οι ερευνητές της Trend Micro.
Δείτε επίσης: Αυξάνεται η δραστηριότητα του DarkGate malware
Τι εργαλεία χρησιμοποιεί η Earth Estries;
Η ομάδα Earth Estries διαθέτει τρία μοναδικά εργαλεία κακόβουλου λογισμικού: Zingdoor, TrillClient και HemiGate.
Το Zingdoor είναι ένα HTTP backdoor που αναπτύχθηκε για πρώτη φορά τον Ιούνιο του 2022, και αναπτύχθηκε σε περιορισμένες μόνο περιπτώσεις έκτοτε. Είναι γραμμένο σε Golang (Go), παρέχοντάς του δυνατότητες cross-platform και είναι packed με UPX. Μπορεί να ανακτήσει πληροφορίες συστήματος και υπηρεσιών Windows, να κάνει απαρίθμηση, αποστολή ή λήψη αρχείων και να εκτελέσει αυθαίρετες εντολές σε ένα σύστημα host.
Το TrillClient είναι ένας συνδυασμός installer και infostealer, γραμμένος σε Go και συσκευασμένος σε ένα Windows cabinet file (.cab). Ο stealer έχει σχεδιαστεί για να συλλέγει browser credentials, με την προσθήκη της δυνατότητας να εκτελεί εντολές ή να αναστέλλεται κατά το δοκούν, ή σε τυχαία χρονικά διαστήματα, με στόχο την αποφυγή ανίχνευσης. Μαζί με το Zingdoor, διαθέτει έναν προσαρμοσμένο obfuscator που έχει σχεδιαστεί για να δυσκολεύει τα εργαλεία ανάλυσης.
Το πιο πολύπλευρο εργαλείο της ομάδας είναι το backdoor HemiGate. Αυτό το κακόβουλο λογισμικό πολλαπλών περιπτώσεων, όλα σε ένα περιλαμβάνει λειτουργίες για keylogging, λήψη screenshot, εκτέλεση εντολών και παρακολούθηση, προσθήκη, διαγραφή και επεξεργασία αρχείων, directories και διαδικασιών.
Δείτε επίσης: Η νέα ομάδα ransomware Ransomed χρησιμοποιεί μια νέα τακτική εκβιασμού
Οι μέθοδοι της ομάδας Earth Estries
Τον Απρίλιο, ερευνητές εντόπισαν την ομάδα Earth Estries να χρησιμοποιεί λογαριασμούς με διοικητικά προνόμια που είχαν διαρρεύσει για να μολύνουν τους εσωτερικούς διακομιστές μιας οργάνωσης – ο τρόπος με τον οποίο αυτοί οι λογαριασμοί παραβιάστηκαν παραμένει άγνωστος. Τοποθέτησαν το Cobalt Strike για να εδραιώσουν μια βάση στο σύστημα και στη συνέχεια χρησιμοποίησαν το server message block (SMB) και τη γραμμή εντολών WMI για να φέρουν το δικό τους malware στο πάρτι.
Στις μεθόδους της, η Earth Estries προκαλεί την εντύπωση μιας καθαρής, σκόπιμης λειτουργίας.
Για παράδειγμα, για να εκτελέσει το malware στο host machine, επιλέγει την εσπευσμένη μέθοδο του DLL sideloading. Οι ερευνητές εξήγησαν ότι οι χάκερ “καθαρίζουν” το υπάρχον backdoor κατά την ολοκλήρωση κάθε γύρου λειτουργίας και αναπτύσσουν ένα νέο κομμάτι malware όταν ξεκινούν έναν άλλο γύρο. Πιστεύουμε ότι κάνουν αυτό για να μειώσουν τον κίνδυνο αποκάλυψης και ανίχνευσης.
Δείτε επίσης: VMware Aria: Ευάλωτο σε κρίσιμη ευπάθεια SSH authentication bypass
Το DLL sideloading και ένα άλλο εργαλείο που χρησιμοποιεί η ομάδα – Fastly CDN – είναι δημοφιλή σε υποομάδες APT41 όπως το Earth Longzhi. Η Trend Micro βρήκε επίσης overlaps μεταξύ του backdoor loader της Earth Estries και του FamousSparrow. Ωστόσο, η ακριβής προέλευση της ομάδας Earth Estries είναι ασαφής. Δεν βοηθά, επίσης, το γεγονός ότι η υποδομή C2 του είναι εξαπλωμένη σε πέντε ηπείρους, που εκτείνονται σε όλα τα ημισφαίρια της γης: από τον Καναδά μέχρι την Αυστραλία, τη Φινλανδία έως το Λάος, με τη μεγαλύτερη συγκέντρωση στις ΗΠΑ και την Ινδία.
Οι ερευνητές ενδέχεται σύντομα να μάθουν περισσότερα για την ομάδα, καθώς η εκστρατεία της κατά των κυβερνητικών και τεχνολογικών οργανισμών σε όλο τον κόσμο συνεχίζεται μέχρι σήμερα.
Πηγή πληροφοριών: darkreading.com
