APT-атаки со стороны Earth Estries ударили по правительству и технологиям с помощью специального вредоносного ПО

Jul 24, 2023

Недавно выявленный злоумышленник незаметно крадет информацию у правительств и технологических организаций по всему миру.

Продолжающаяся кампания любезно предоставлена ​​«Earth Estries». Согласно новому отчету Trend Micro, ранее неизвестная группа существует как минимум с 2020 года и в некоторой степени пересекается с другой организацией кибершпионажа, FamousSparrow. Хотя цели, как правило, происходят из одной и той же пары отраслей, они охватывают весь мир от США до Филиппин, Германии, Тайваня, Малайзии и Южной Африки.

Earth Estries имеет склонность использовать неопубликованную загрузку DLL для запуска любого из трех своих собственных вредоносных программ — двух бэкдоров и информационного кражи — вместе с другими инструментами, такими как Cobalt Strike. «Стоящие за Earth Estries субъекты угроз работают с ресурсами высокого уровня и действуют, обладая сложными навыками и опытом в кибершпионаже и незаконной деятельности», — пишут исследователи Trend Micro.

Earth Estries обладает тремя уникальными вредоносными инструментами: Zingdoor, TrillClient и HemiGate.

Zingdoor — это HTTP-бэкдор, впервые разработанный в июне 2022 года и с тех пор используемый лишь в ограниченных случаях. Он написан на Golang (Go), что обеспечивает кроссплатформенность, и оснащен UPX. Он может получать информацию о системе и службах Windows; перечислять, загружать или скачивать файлы; и запускать произвольные команды на хост-машине.

TrillClient — это комбинация установщика и программы Infostealer, также написанная на Go и упакованная в CAB-файл Windows (.cab). Стилер предназначен для сбора учетных данных браузера с дополнительной возможностью действовать или отключаться по команде или через произвольные промежутки времени с целью избежать обнаружения. Наряду с Zingdoor он оснащен специальным обфускатором, предназначенным для того, чтобы поставить в тупик инструменты анализа.

Самый многогранный инструмент группировки — бэкдор HemiGate. Это многоэкземплярное вредоносное ПО «все в одном» включает в себя функции ведения кейлогинга, создания снимков экрана, выполнения команд, а также мониторинга, добавления, удаления и редактирования файлов, каталогов и процессов.

В апреле исследователи заметили, что Earth Estries использовала скомпрометированные учетные записи с административными привилегиями для заражения внутренних серверов организации; способы, с помощью которых эти учетные записи были скомпрометированы, неизвестны. Он внедрил Cobalt Strike, чтобы закрепиться в системе, а затем использовал блок сообщений сервера (SMB) и командную строку WMI, чтобы внедрить на вечеринку собственное вредоносное ПО.

По своим методам Earth Estries производит впечатление чистой, продуманной операции.

Например, для запуска своего вредоносного ПО на хост-компьютере он всегда выбирает хитрый метод загрузки неопубликованных DLL. И, как объяснили исследователи, «злоумышленники регулярно очищали свой существующий бэкдор после завершения каждого раунда операции и повторно развертывали новую часть вредоносного ПО, когда начинали следующий раунд. Мы полагаем, что они делают это, чтобы снизить риск раскрытия и обнаружения».

Загрузка неопубликованных DLL и еще один инструмент, используемый группой — Fastly CDN — популярны среди подгрупп APT41, таких как Earth Longzhi. Trend Micro также обнаружила совпадения между бэкдор-загрузчиком Earth Estries и FamousSparrow. Тем не менее, точное происхождение Земных Эстриев неясно. Не помогает и то, что ее инфраструктура C2 распространена на пяти континентах, охватывая все полушария Земли: от Канады до Австралии, от Финляндии до Лаоса, с самой высокой концентрацией в США и Индии.

Исследователи могут вскоре узнать больше об этой группе, поскольку ее кампания против правительственных и технологических организаций по всему миру продолжается и сегодня.