GhostSpider Backdoor

До Mezo през Усъвършенствана постоянна заплаха (APT), Задни врати, Зловреден софтуерг

Превод на:

Усъвършенствана група за кибершпионаж, свързана с Китай, известна като Earth Estries, е насочена към телекомуникационни и правителствени организации в Югоизточна Азия и извън нея. Групата е използвала различни усъвършенствани техники за проникване в критични индустрии, включително използване на недокументирана задна врата, наречена GhostSpider. Този актьор на заплаха също е наблюдаван да използва няколко уязвимости, за да получи неоторизиран достъп до своите цели, разкривайки нарастващата сложност на кибер възможностите на Китай.

Съдържание

GhostSpider: Недокументираната задна врата

GhostSpider, ново допълнение към арсенала на Earth Estries, е използван като основен метод за проникване в мрежи. Тази задна врата е силно насочена, специално създадена, за да използва слабостите в инфраструктурата на телекомуникационните фирми от Югоизточна Азия. Earth Estries използва този инструмент заедно с MASOL RAT (известен също като Backdr-NQ), друга задна врата, за насочване както към Linux, така и към правителствени мрежови системи. Стратегията на групата за използване на персонализиран злонамерен софтуер осигурява постоянно присъствие в компрометирани мрежи, позволявайки дългосрочен кибершпионаж.

Глобален обхват: Насочване към множество сектори

Earth Estries постигна значителни крачки в компрометирането на широк кръг от сектори, включително телекомуникации, технологии, консултации, транспорт, химическа промишленост и правителствени организации. Операциите на групата обхващат над 20 жертви в повече от дузина страни, включително Афганистан, Бразилия, Индия, Индонезия, Малайзия, Южна Африка, САЩ и Виетнам. Това широко насочване подчертава способността и амбицията на групата, с приблизително 150 жертви, засегнати от техните дейности, особено в правителството на САЩ и частния сектор.

Инструментите на Земята Естри

Сред многото инструменти, с които разполага The Earth Estries, руткитът Demodex и Deed RAT (известен също като SNAPPYBEE) се открояват. Тези инструменти, заедно с други като Crowdoor и TrillClient, са неразделна част от операциите на групата. Смята се, че ShadowPad, фамилия злонамерен софтуер, широко използван от китайски APT групи, е повлиял на развитието на Deed RAT, вероятен наследник. Тези усъвършенствани задни вратички и крадци на информация позволяват на The Earth Estries да останат скрити, докато извличат чувствителна информация от своите цели.

Използване на уязвимости за първоначален достъп

За да получи достъп до целите си, Earth Estries разчита до голяма степен на уязвимости от N-day, които са пропуски в софтуера, които са били публично разкрити, но все още не са коригирани от потребителите. Някои от най-често използваните уязвимости включват тези в Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall и Microsoft Exchange Server. След като тези уязвимости бъдат използвани, Earth Estries внедрява своя персонализиран зловреден софтуер, като допълнително се вгражда в компрометираната мрежа за дългосрочно наблюдение и събиране на данни.

Сложна и добре организирана група

Earth Estries работи със силно структуриран и организиран подход. Въз основа на анализа на няколко кампании изглежда, че различни екипи в рамките на групата са отговорни за насочването към конкретни региони и индустрии. Инфраструктурата за командване и контрол (C2) на групата също е децентрализирана, с отделни екипи, управляващи различни задкулисни операции. Това сегментиране позволява по-сложна и координирана поредица от атаки в различни сектори.

GhostSpider: Мултимодулен имплант

В основата на операциите на Earth Estries е имплантът GhostSpider. Този усъвършенстван инструмент комуникира с контролирана от нападателя инфраструктура чрез персонализиран протокол, защитен от сигурността на транспортния слой (TLS). Имплантът може да извлича допълнителни модули, ако е необходимо, разширявайки своята функционалност. Неговата гъвкавост го прави мощен инструмент за дългосрочен кибершпионаж, позволявайки на Земните Естрии да адаптират и развиват своите операции според изискванията на ситуацията.

Тактики за стелт и избягване

Earth Estries използва различни стелт техники, за да избегне откриването. Групата започва атаките си от крайните устройства, като постепенно разширява обхвата си в облачни среди, което затруднява откриването на нейното присъствие. Като поддържа нисък профил и се крие зад слоеве инфраструктура, Earth Estries гарантира, че неговите дейности остават незабелязани за продължителни периоди, което позволява непрекъснато събиране на данни.

Телекомуникационните компании: Честа цел

Телекомуникационните компании отдавна са основна цел за свързаните с Китай групи за киберзаплахи, като Earth Estries се присъединява към редиците на други като Granite Typhoon и Liminal Panda. Тези атаки разкриват нарастващото съзряване на китайската киберпрограма, която премина от еднократни удари към масово събиране на данни и продължителни кампании, насочени към критични доставчици на услуги. Фокусът на Earth Estries върху доставчиците на управлявани услуги (MSP), доставчиците на интернет услуги (ISP) и доставчиците на платформи сигнализира за промяна в стратегията на Китай за получаване на непрекъснат достъп до глобалните комуникационни мрежи.

Заключение: нарастваща заплаха от кибершпионаж

Докато Earth Estries продължава да разширява своите операции, това подчертава нарастващите възможности на свързаните с Китай групи за кибершпионаж. Използването на усъвършенстван злонамерен софтуер, съчетано с фокус върху критични инфраструктурни сектори, демонстрира добре организирана и развиваща се заплаха. За организациите в засегнатите региони необходимостта от повишена бдителност и стабилни мерки за киберсигурност никога не е била по-критична.