GhostSpider Backdoor

Vuonna Mezo vuonna Advanced Persistent Threat (APT), Takaovet, Haittaohjelma

Käännä:

Kehittynyt Kiinaan liittyvä kybervakoiluryhmä, joka tunnetaan nimellä Earth Estries, on ollut kohteena televiestintä- ja hallintoelimiin kaikkialla Kaakkois-Aasiassa ja sen ulkopuolella. Ryhmä on käyttänyt useita kehittyneitä tekniikoita soluttautuakseen kriittisille toimialoille, mukaan lukien GhostSpider-nimisen dokumentoimattoman takaoven käyttäminen. Tämän uhkatoimijan on myös havaittu hyödyntävän useita haavoittuvuuksia päästäkseen luvatta kohteisiinsa, mikä paljastaa Kiinan kybervalmiuksien kehittymisen.

Sisällysluettelo

GhostSpider: Dokumentoimaton takaovi

GhostSpider, uusi lisäys Earth Estriesin arsenaaliin, on käytetty ensisijaisena menetelmänä tunkeutua verkkoihin. Tämä takaovi on erittäin kohdennettu, ja se on erityisesti suunniteltu hyödyntämään Kaakkois-Aasian teleyritysten infrastruktuurin heikkouksia. Earth Estries käyttää tätä työkalua MASOL RAT:n (tunnetaan myös nimellä Backdr-NQ), toisen takaoven, rinnalla kohdistaakseen sekä Linuxin että valtion verkkojärjestelmiin. Ryhmän strategia räätälöityjen haittaohjelmien käyttämisessä varmistaa jatkuvan läsnäolon vaarantuneissa verkoissa, mikä mahdollistaa pitkän aikavälin kybervakoilun.

Maailmanlaajuinen kattavuus: kohdistaminen useille aloille

Earth Estries on saavuttanut merkittäviä edistysaskeleita vaarantaessaan monia sektoreita, mukaan lukien televiestintä, teknologia, konsultointi, kuljetus, kemianteollisuus ja valtion organisaatiot. Ryhmän toiminta kattaa yli 20 uhria yli tusinassa maassa, mukaan lukien Afganistan, Brasilia, Intia, Indonesia, Malesia, Etelä-Afrikka, Yhdysvallat ja Vietnam. Tämä laaja kohdentaminen korostaa ryhmän kykyjä ja kunnianhimoa, sillä heidän toimintansa vaikuttaa arviolta 150 uhriin, erityisesti Yhdysvaltain hallituksessa ja yksityisellä sektorilla.

Maan työkalut Estries

The Earth Estriesin monista työkaluista erottuvat Demodex-rootkit ja Deed RAT (tunnetaan myös nimellä SNAPPYBEE). Nämä työkalut, kuten muut, kuten Crowdoor ja TrillClient, ovat olennainen osa konsernin toimintaa. ShadowPad, kiinalaisten APT-ryhmien laajalti käyttämä haittaohjelmaperhe, uskotaan vaikuttaneen Deed RATin, todennäköisen seuraajan, kehitykseen. Nämä edistyneet takaovet ja tietovarastot antavat The Earth Estriesille mahdollisuuden pysyä piilossa samalla kun ne suodattavat arkaluontoisia tietoja kohteistaan.

Haavoittuvuuksien hyödyntäminen ensikäyttöä varten

Päästäkseen kohteisiinsa Earth Estries luottaa voimakkaasti N-päivän haavoittuvuuksiin, jotka ovat ohjelmiston puutteita, jotka on julkistettu mutta joita käyttäjät eivät vielä ole korjanneet. Joitakin yleisimmin hyödynnettyjä haavoittuvuuksia ovat Ivanti Connect Securen, Fortinet FortiClient EMS:n, Sophos Firewallin ja Microsoft Exchange Serverin haavoittuvuudet. Kun näitä haavoittuvuuksia on hyödynnetty, Earth Estries ottaa käyttöön räätälöityjä haittaohjelmiaan ja upottaa itsensä edelleen vaarantuneeseen verkkoon pitkäaikaista valvontaa ja tiedonkeruuta varten.

Monimutkainen ja hyvin organisoitu ryhmä

Earth Estries toimii erittäin jäsennellyllä ja organisoidulla lähestymistavalla. Useiden kampanjoiden analyysin perusteella näyttää siltä, että ryhmän eri tiimit ovat vastuussa tietyille alueille ja toimialoille kohdistamisesta. Konsernin Command-and-Control (C2) -infrastruktuuri on myös hajautettu, ja erilliset tiimit hallitsevat erilaisia takaoven toimintoja. Tämä segmentointi mahdollistaa monimutkaisemman ja koordinoidumman hyökkäyssarjan eri sektoreilla.

GhostSpider: Monimoduuli-istute

Earth Estriesin toiminnan ytimessä on GhostSpider-implantti. Tämä hienostunut työkalu kommunikoi hyökkääjien ohjaaman infrastruktuurin kanssa mukautetun Transport Layer Securityn (TLS) suojaaman protokollan kautta. Implantti voi noutaa tarvittaessa lisämoduuleja, mikä laajentaa sen toimivuutta. Sen joustavuus tekee siitä tehokkaan työkalun pitkäaikaiseen kybervakoiluun, mikä antaa Earth Estriesille mahdollisuuden mukautua ja kehittää toimintaansa tilanteen vaatimalla tavalla.

Hiljaisuus ja väistötaktiikka

Earth Estries käyttää erilaisia stealth-tekniikoita havaitsemisen välttämiseksi. Ryhmä aloittaa hyökkäyksensä reunalaitteista ja laajentaa asteittain ulottuvuuttaan pilviympäristöihin, mikä vaikeuttaa sen läsnäolon havaitsemista. Ylläpitämällä matalaa profiilia ja piiloutumalla infrastruktuurikerrosten taakse Earth Estries varmistaa, että sen toimintaa ei havaita pitkiä aikoja, mikä mahdollistaa keskeytymättömän tiedonkeruun.

Televiestintäyritykset: yleinen kohde

Televiestintäyritykset ovat pitkään olleet Kiinaan liittyvien kyberuhkaryhmien ensisijainen kohde, ja Earth Estries on liittynyt muiden joukkoon, kuten Granite Typhoon ja Liminal Panda. Nämä hyökkäykset paljastavat Kiinan kyberohjelman lisääntyneen kypsymisen. Se on siirtynyt kertaluonteisista lakoista joukkotietojen keräämiseen ja jatkuviin kampanjoihin, jotka on suunnattu kriittisille palveluntarjoajille. Earth Estriesin keskittyminen hallittuihin palveluntarjoajiin (MSP), Internet-palveluntarjoajiin (ISP) ja alustantarjoajiin merkitsee muutosta Kiinan strategiassa saada jatkuva pääsy maailmanlaajuisiin viestintäverkkoihin.

Johtopäätös: kasvava kybervakoiluuhka

Samalla kun Earth Estries laajentaa toimintaansa, se korostaa Kiinaan liittyvien kybervakoiluryhmien kasvavaa kykyä. Kehittyneiden haittaohjelmien käyttö yhdistettynä kriittisiin infrastruktuurisektoreihin on osoitus hyvin organisoidusta ja kehittyvästä uhkasta. Vaikeudesta kärsineiden alueiden organisaatioille tarve lisätä valppautta ja vankkoja kyberturvallisuustoimenpiteitä ei ole koskaan ollut kriittisempi.