GhostSpider bagdør

Med Mezo i Advanced Persistent Threat (APT), Bagdøre, Malware

Oversæt til:

En sofistikeret Kina-forbundet cyberspionagegruppe kendt som Earth Estries har været rettet mod telekommunikation og offentlige enheder i hele Sydøstasien og videre. Gruppen har brugt en række avancerede teknikker til at infiltrere kritiske industrier, herunder at bruge en udokumenteret bagdør ved navn GhostSpider. Denne trusselsaktør er også blevet observeret i at udnytte adskillige sårbarheder for at få uautoriseret adgang til sine mål, hvilket afslører den stigende sofistikering af Kinas cyberkapacitet.

Indholdsfortegnelse

GhostSpider: Den udokumenterede bagdør

GhostSpider, en ny tilføjelse til Earth Estries' arsenal, er blevet brugt som en primær metode til at infiltrere netværk. Denne bagdør er meget målrettet, specielt udformet til at udnytte svagheder i infrastrukturen hos sydøstasiatiske telekommunikationsfirmaer. Earth Estries bruger dette værktøj sammen med MASOL RAT (også kendt som Backdr-NQ), en anden bagdør, til at målrette mod både Linux og offentlige netværkssystemer. Gruppens strategi med at bruge skræddersyet malware sikrer en vedvarende tilstedeværelse i kompromitterede netværk, hvilket muliggør langsigtet cyberspionage.

En global rækkevidde: Målretning mod flere sektorer

Earth Estries har gjort betydelige fremskridt med at kompromittere en bred vifte af sektorer, herunder telekommunikation, teknologi, rådgivning, transport, kemiske industrier og statslige organisationer. Gruppens operationer spænder over 20 ofre i mere end et dusin lande, herunder Afghanistan, Brasilien, Indien, Indonesien, Malaysia, Sydafrika, USA og Vietnam. Denne brede målretning understreger gruppens kapacitet og ambition, med anslået 150 ofre, der er påvirket af deres aktiviteter, især inden for den amerikanske regering og den private sektor.

The Tools of the Earth Estries

Blandt de mange værktøjer, som The Earth Estries råder over, skiller Demodex rootkit og Deed RAT (også kendt som SNAPPYBEE) sig ud. Disse værktøjer er sammen med andre som Crowdoor og TrillClient en integreret del af koncernens drift. ShadowPad, en malware-familie, der er meget brugt af kinesiske APT-grupper, menes at have påvirket udviklingen af Deed RAT, en sandsynlig efterfølger. Disse avancerede bagdøre og informationstyve giver The Earth Estries mulighed for at forblive skjult, mens de eksfiltrerer følsom information fra deres mål.

Udnyttelse af sårbarheder til indledende adgang

For at få adgang til sine mål er Earth Estries stærkt afhængige af N-dages sårbarheder, som er fejl i software, der er blevet offentliggjort, men endnu ikke rettet af brugere. Nogle af de mest almindeligt udnyttede sårbarheder inkluderer dem i Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall og Microsoft Exchange Server. Når disse sårbarheder er udnyttet, implementerer Earth Estries sin tilpassede malware og indlejrer sig yderligere i det kompromitterede netværk til langsigtet overvågning og dataindsamling.

En kompleks og velorganiseret gruppe

Earth Estries opererer med en meget struktureret og organiseret tilgang. Baseret på analysen af flere kampagner ser det ud til, at forskellige teams inden for gruppen er ansvarlige for at målrette mod specifikke regioner og brancher. Gruppens Command-and-Control (C2) infrastruktur er også decentraliseret, med forskellige teams, der administrerer forskellige bagdørsoperationer. Denne segmentering giver mulighed for en mere kompleks og koordineret serie af angreb på tværs af forskellige sektorer.

GhostSpider: Et multimodulimplantat

I hjertet af Earth Estries' operationer er GhostSpider-implantatet. Dette sofistikerede værktøj kommunikerer med angriberstyret infrastruktur gennem en brugerdefineret protokol sikret af Transport Layer Security (TLS). Implantatet kan hente yderligere moduler efter behov, hvilket udvider dets funktionalitet. Dens fleksibilitet gør den til et kraftfuldt værktøj til langsigtet cyberspionage, hvilket giver Earth Estries mulighed for at tilpasse sig og udvikle sine operationer, efterhånden som situationen kræver det.

Stealth og undvigelsestaktik

Earth Estries anvender en række stealth-teknikker for at undgå opdagelse. Gruppen starter sine angreb på kanten enheder og udvider gradvist sin rækkevidde til skymiljøer, hvilket gør det vanskeligt at opdage dens tilstedeværelse. Ved at holde en lav profil og gemme sig bag lag af infrastruktur sikrer Earth Estries, at dets aktiviteter forbliver uopdaget i længere perioder, hvilket giver mulighed for uafbrudt dataindsamling.

Telekommunikationsvirksomheder: Et hyppigt mål

Telekommunikationsselskaber har længe været et primært mål for Kina-tilknyttede cybertrusselgrupper, hvor Earth Estries slutter sig til rækken af andre såsom Granite Typhoon og Liminal Panda. Disse angreb afslører den øgede modning af Kinas cyberprogram, som er skiftet fra engangsangreb til bulkdataindsamling og vedvarende kampagner rettet mod kritiske tjenesteudbydere. Earth Estries' fokus på Managed Service Providers (MSP'er), Internet Service Providers (ISP'er) og platformudbydere signalerer et skift i Kinas strategi for at få kontinuerlig adgang til globale kommunikationsnetværk.

Konklusion: En voksende trussel om cyberspionage

Efterhånden som Earth Estries fortsætter med at udvide sine aktiviteter, fremhæver det de voksende muligheder hos Kina-tilknyttede cyberspionagegrupper. Brugen af sofistikeret malware, kombineret med fokus på kritiske infrastruktursektorer, viser en velorganiseret og udviklende trussel. For organisationer i de berørte regioner har behovet for øget årvågenhed og robuste cybersikkerhedsforanstaltninger aldrig været mere kritisk.