GhostSpider Backdoor

یک گروه جاسوسی سایبری پیچیده مرتبط با چین که به نام Earth Estries شناخته می شود، نهادهای مخابراتی و دولتی را در سراسر آسیای جنوب شرقی و فراتر از آن هدف قرار داده است. این گروه از انواع تکنیک های پیشرفته برای نفوذ به صنایع مهم استفاده کرده است، از جمله استفاده از یک درب پشتی غیرمستند به نام GhostSpider. همچنین مشاهده شده است که این عامل تهدید از چندین آسیب‌پذیری برای دسترسی غیرمجاز به اهداف خود سوء استفاده می‌کند و پیچیدگی روزافزون قابلیت‌های سایبری چین را آشکار می‌کند.

GhostSpider: The Undocumented Backdoor

GhostSpider، افزودنی جدید به زرادخانه Earth Estries، به عنوان یک روش اولیه برای نفوذ به شبکه ها استفاده شده است. این درب پشتی بسیار هدف‌گذاری شده است، به‌ویژه برای بهره‌برداری از ضعف‌های زیرساخت شرکت‌های مخابراتی آسیای جنوب شرقی ساخته شده است. Earth Estries از این ابزار در کنار MASOL RAT (همچنین به عنوان Backdr-NQ شناخته می شود)، درب پشتی دیگری برای هدف قرار دادن لینوکس و سیستم های شبکه دولتی استفاده می کند. استراتژی این گروه برای استفاده از بدافزارهای سفارشی، حضور مداوم در شبکه‌های در معرض خطر را تضمین می‌کند و امکان جاسوسی سایبری طولانی‌مدت را فراهم می‌کند.

دسترسی جهانی: هدف قرار دادن چندین بخش

Earth Estries در به خطر انداختن طیف گسترده‌ای از بخش‌ها از جمله مخابرات، فناوری، مشاوره، حمل‌ونقل، صنایع شیمیایی و سازمان‌های دولتی گام‌های مهمی برداشته است. عملیات این گروه شامل بیش از 20 قربانی در بیش از 12 کشور از جمله افغانستان، برزیل، هند، اندونزی، مالزی، آفریقای جنوبی، ایالات متحده و ویتنام است. این هدف گذاری گسترده بر توانایی و جاه طلبی این گروه تأکید می کند، به طوری که تخمین زده می شود 150 قربانی تحت تأثیر فعالیت های آنها، به ویژه در دولت و بخش خصوصی ایالات متحده، قرار بگیرند.

The Tools of the Earth Estries

در میان بسیاری از ابزارهایی که The Earth Estries در اختیار دارند، روت کیت Demodex و Deed RAT (همچنین به عنوان SNAPPYBEE شناخته می شود) برجسته هستند. این ابزارها، همراه با ابزارهای دیگری مانند Crowdoor و TrillClient، جزء لاینفک عملیات گروه هستند. ShadowPad، یک خانواده بدافزار که به طور گسترده توسط گروه‌های APT چینی استفاده می‌شود، بر توسعه Deed RAT، یک جانشین احتمالی تأثیر گذاشته است. این درهای پشتی پیشرفته و دزدان اطلاعات به The Earth Estries اجازه می‌دهند در حالی که اطلاعات حساس را از اهداف خود استخراج می‌کنند، پنهان بماند.

بهره برداری از آسیب پذیری ها برای دسترسی اولیه

برای دستیابی به اهداف خود، Earth Estries به شدت به آسیب‌پذیری‌های N-day، که نقص‌های نرم‌افزاری هستند که به صورت عمومی افشا شده‌اند اما هنوز توسط کاربران اصلاح نشده‌اند، متکی است. برخی از رایج‌ترین آسیب‌پذیری‌هایی که مورد سوء استفاده قرار می‌گیرند عبارتند از: Ivanti Connect Secure، Fortinet FortiClient EMS، Sophos Firewall و Microsoft Exchange Server. هنگامی که این آسیب‌پذیری‌ها مورد سوء استفاده قرار می‌گیرند، Earth Estries بدافزار سفارشی خود را مستقر می‌کند و خود را برای نظارت طولانی‌مدت و جمع‌آوری داده‌ها در شبکه در معرض خطر قرار می‌دهد.

یک گروه پیچیده و سازماندهی شده

Earth Estries با رویکردی بسیار ساختاریافته و سازمان یافته عمل می کند. بر اساس تجزیه و تحلیل چند کمپین، به نظر می رسد که تیم های مختلف در داخل گروه مسئول هدف قرار دادن مناطق و صنایع خاص هستند. زیرساخت فرماندهی و کنترل (C2) گروه نیز غیرمتمرکز است و تیم‌های متمایز عملیات‌های مختلف درب پشتی را مدیریت می‌کنند. این تقسیم‌بندی به مجموعه‌ای از حملات پیچیده‌تر و هماهنگ‌تر در بخش‌های مختلف اجازه می‌دهد.

GhostSpider: ایمپلنت چند ماژول

در قلب عملیات Earth Estries، ایمپلنت GhostSpider قرار دارد. این ابزار پیچیده با زیرساخت های کنترل شده توسط مهاجم از طریق یک پروتکل سفارشی ایمن شده توسط Transport Layer Security (TLS) ارتباط برقرار می کند. ایمپلنت می تواند در صورت نیاز ماژول های اضافی را بازیابی کند و عملکرد آن را گسترش دهد. انعطاف‌پذیری آن، آن را به ابزاری قدرتمند برای جاسوسی سایبری طولانی‌مدت تبدیل می‌کند و به Earth Estries اجازه می‌دهد تا عملیات خود را مطابق با شرایط اقتضا کند و تکامل دهد.

تاکتیک های پنهان کاری و فرار

Earth Estries از انواع تکنیک های مخفی کاری برای جلوگیری از شناسایی استفاده می کند. این گروه حملات خود را از دستگاه های لبه آغاز می کند و به تدریج دامنه خود را به محیط های ابری گسترش می دهد و تشخیص حضور آن را دشوار می کند. با حفظ مشخصات پایین و پنهان شدن در پشت لایه‌های زیرساخت، Earth Estries تضمین می‌کند که فعالیت‌هایش برای مدت‌های طولانی شناسایی نشده است و امکان جمع‌آوری بی‌وقفه داده‌ها را فراهم می‌کند.

شرکت های مخابراتی: یک هدف مکرر

شرکت‌های مخابراتی مدت‌هاست که هدف اصلی گروه‌های تهدید سایبری مرتبط با چین بوده‌اند، به طوری که Earth Estries به جمع شرکت‌هایی مانند Granite Typhoon و Liminal Panda پیوسته است. این حملات نشان‌دهنده بلوغ فزاینده برنامه سایبری چین است که از حملات یک‌باره به جمع‌آوری داده‌های انبوه و کمپین‌های پایدار با هدف ارائه‌دهندگان خدمات حیاتی تغییر کرده است. تمرکز Earth Estries بر ارائه دهندگان خدمات مدیریت شده (MSP)، ارائه دهندگان خدمات اینترنت (ISP) و ارائه دهندگان پلت فرم، نشان دهنده تغییر در استراتژی چین برای دسترسی مداوم به شبکه های ارتباطی جهانی است.

نتیجه گیری: یک تهدید رو به رشد جاسوسی سایبری

همانطور که Earth Estries به گسترش عملیات خود ادامه می دهد، توانایی های رو به رشد گروه های جاسوسی سایبری مرتبط با چین را برجسته می کند. استفاده از بدافزارهای پیچیده، همراه با تمرکز بر بخش‌های زیرساختی حیاتی، یک تهدید سازمان‌یافته و در حال تکامل را نشان می‌دهد. برای سازمان‌ها در مناطق آسیب‌دیده، نیاز به هوشیاری بیشتر و اقدامات امنیت سایبری قوی هرگز به این اندازه حیاتی نبوده است.

GhostSpider Backdoor ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .