11 удивительных наборов инструментов для 3D-печати на 2023 год
Aug 20, 202311 лучших цифровых адаптеров крутящего момента на 2023 год
Aug 19, 202311 лучших цифровых адаптеров крутящего момента на 2023 год
Jul 15, 202320230830 ICYMI: Губернатор Рон ДеСантис публикует обновленную информацию об урагане Идалия
Jul 02, 202321 лучший в
Jun 24, 2023APT-атаки со стороны Earth Estries ударили по правительству и технологиям с помощью специального вредоносного ПО
Недавно выявленный злоумышленник незаметно крадет информацию у правительств и технологических организаций по всему миру.
Продолжающаяся кампания любезно предоставлена «Earth Estries». Согласно новому отчету Trend Micro, ранее неизвестная группа существует как минимум с 2020 года и в некоторой степени пересекается с другой организацией кибершпионажа, FamousSparrow. Хотя цели, как правило, происходят из одной и той же пары отраслей, они охватывают весь мир от США до Филиппин, Германии, Тайваня, Малайзии и Южной Африки.
Earth Estries имеет склонность использовать неопубликованную загрузку DLL для запуска любого из трех своих собственных вредоносных программ — двух бэкдоров и информационного кражи — вместе с другими инструментами, такими как Cobalt Strike. «Стоящие за Earth Estries субъекты угроз работают с ресурсами высокого уровня и действуют, обладая сложными навыками и опытом в кибершпионаже и незаконной деятельности», — пишут исследователи Trend Micro.
Earth Estries обладает тремя уникальными вредоносными инструментами: Zingdoor, TrillClient и HemiGate.
Zingdoor — это HTTP-бэкдор, впервые разработанный в июне 2022 года и с тех пор используемый лишь в ограниченных случаях. Он написан на Golang (Go), что обеспечивает кроссплатформенность, и оснащен UPX. Он может получать информацию о системе и службах Windows; перечислять, загружать или скачивать файлы; и запускать произвольные команды на хост-машине.
TrillClient — это комбинация установщика и программы Infostealer, также написанная на Go и упакованная в CAB-файл Windows (.cab). Стилер предназначен для сбора учетных данных браузера с дополнительной возможностью действовать или отключаться по команде или через произвольные промежутки времени с целью избежать обнаружения. Наряду с Zingdoor он оснащен специальным обфускатором, предназначенным для того, чтобы поставить в тупик инструменты анализа.
Самый многогранный инструмент группировки — бэкдор HemiGate. Это многоэкземплярное вредоносное ПО «все в одном» включает в себя функции ведения кейлогинга, создания снимков экрана, выполнения команд, а также мониторинга, добавления, удаления и редактирования файлов, каталогов и процессов.
В апреле исследователи заметили, что Earth Estries использовала скомпрометированные учетные записи с административными привилегиями для заражения внутренних серверов организации; способы, с помощью которых эти учетные записи были скомпрометированы, неизвестны. Он внедрил Cobalt Strike, чтобы закрепиться в системе, а затем использовал блок сообщений сервера (SMB) и командную строку WMI, чтобы внедрить на вечеринку собственное вредоносное ПО.
По своим методам Earth Estries производит впечатление чистой, продуманной операции.
Например, для запуска своего вредоносного ПО на хост-компьютере он всегда выбирает хитрый метод загрузки неопубликованных DLL. И, как объяснили исследователи, «злоумышленники регулярно очищали свой существующий бэкдор после завершения каждого раунда операции и повторно развертывали новую часть вредоносного ПО, когда начинали следующий раунд. Мы полагаем, что они делают это, чтобы снизить риск раскрытия и обнаружения».
Загрузка неопубликованных DLL и еще один инструмент, используемый группой — Fastly CDN — популярны среди подгрупп APT41, таких как Earth Longzhi. Trend Micro также обнаружила совпадения между бэкдор-загрузчиком Earth Estries и FamousSparrow. Тем не менее, точное происхождение Земных Эстриев неясно. Не помогает и то, что ее инфраструктура C2 распространена на пяти континентах, охватывая все полушария Земли: от Канады до Австралии, от Финляндии до Лаоса, с самой высокой концентрацией в США и Индии.
Исследователи могут вскоре узнать больше об этой группе, поскольку ее кампания против правительственных и технологических организаций по всему миру продолжается и сегодня.