GhostSpider Backdoor

Do Mezo. Napredna trajna prijetnja (APT), Stražnja vrata, Malware. godine

Prevedi na:

Sofisticirana skupina za kibernetičku špijunažu povezana s Kinom, poznata kao Earth Estries, ciljala je na telekomunikacijske i vladine subjekte diljem jugoistočne Azije i šire. Grupa je koristila niz naprednih tehnika za infiltraciju u kritične industrije, uključujući korištenje nedokumentiranog backdoor-a pod nazivom GhostSpider. Ovaj akter prijetnje također je primijećen kako iskorištava nekoliko ranjivosti za dobivanje neovlaštenog pristupa svojim ciljevima, otkrivajući sve veću sofisticiranost kibernetičkih sposobnosti Kine.

Sadržaj

GhostSpider: Nedokumentirana stražnja vrata

GhostSpider, novi dodatak arsenalu Earth Estries, korišten je kao primarna metoda za infiltraciju u mreže. Ova stražnja vrata su visoko ciljana, posebno izrađena za iskorištavanje slabosti u infrastrukturi telekomunikacijskih tvrtki jugoistočne Azije. Earth Estries koristi ovaj alat uz MASOL RAT (također poznat kao Backdr-NQ), još jedan backdoor, za ciljanje i Linuxa i državnih mrežnih sustava. Grupna strategija korištenja prilagođenog zlonamjernog softvera osigurava stalnu prisutnost unutar kompromitiranih mreža, omogućujući dugoročnu kibernetičku špijunažu.

Globalni doseg: ciljanje na više sektora

Earth Estries napravio je značajne korake u kompromitiranju širokog spektra sektora, uključujući telekomunikacije, tehnologiju, savjetovanje, transport, kemijsku industriju i vladine organizacije. Operacije skupine obuhvaćaju više od 20 žrtava u više od desetak zemalja, uključujući Afganistan, Brazil, Indiju, Indoneziju, Maleziju, Južnu Afriku, SAD i Vijetnam. Ovo široko ciljanje naglašava sposobnost i ambiciju skupine, s procijenjenih 150 žrtava pogođenih njihovim aktivnostima, posebice unutar američke vlade i privatnog sektora.

Alati Zemlje Estries

Među brojnim alatima kojima The Earth Estries raspolaže ističu se Demodex rootkit i Deed RAT (poznat i kao SNAPPYBEE). Ovi alati, zajedno s drugima kao što su Crowdoor i TrillClient, sastavni su dio poslovanja grupe. Vjeruje se da je ShadowPad, obitelj malwarea koju široko koriste kineske APT grupe, utjecala na razvoj Deed RAT-a, vjerojatnog nasljednika. Ovi napredni backdoori i kradljivci informacija omogućuju The Earth Estries da ostanu skriveni dok izvlače osjetljive informacije od svojih meta.

Iskorištavanje ranjivosti za početni pristup

Kako bi dobio pristup svojim ciljevima, Earth Estries se uvelike oslanja na N-day ranjivosti, a to su greške u softveru koje su javno objavljene, ali ih korisnici još nisu zakrpali. Neke od najčešće iskorištavanih ranjivosti uključuju one u Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall i Microsoft Exchange Server. Nakon što se ove ranjivosti iskoriste, Earth Estries postavlja svoj prilagođeni zlonamjerni softver, dalje se ugrađuju u kompromitiranu mrežu za dugoročni nadzor i prikupljanje podataka.

Složena i dobro organizirana grupa

Earth Estries djeluje s visoko strukturiranim i organiziranim pristupom. Na temelju analize nekoliko kampanja, čini se da su različiti timovi unutar grupe odgovorni za ciljanje određenih regija i industrija. Grupna infrastruktura za upravljanje i kontrolu (C2) također je decentralizirana, s različitim timovima koji upravljaju različitim backdoor operacijama. Ova segmentacija omogućuje složeniji i koordiniraniji niz napada u različitim sektorima.

GhostSpider: implantat s više modula

U srcu Earth Estriesovih operacija je GhostSpider implantat. Ovaj sofisticirani alat komunicira s infrastrukturom koju kontrolira napadač putem prilagođenog protokola zaštićenog Transport Layer Security (TLS). Implantat može dohvatiti dodatne module prema potrebi, proširujući svoju funkcionalnost. Njegova fleksibilnost čini ga moćnim alatom za dugoročnu kibernetičku špijunažu, dopuštajući Zemljinim estrijama da prilagode i razviju svoje operacije prema situaciji.

Taktike prikrivanja i izbjegavanja

Earth Estries koristi razne tehnike prikrivanja kako bi izbjegao otkrivanje. Grupa započinje svoje napade na rubnim uređajima, postupno proširujući svoj doseg u okruženja oblaka, što otežava otkrivanje njezine prisutnosti. Održavanjem niskog profila i skrivanjem iza slojeva infrastrukture, Earth Estries osigurava da njegove aktivnosti ostanu neotkrivene dulja razdoblja, omogućujući neprekinuto prikupljanje podataka.

Telekomunikacijske tvrtke: česta meta

Telekomunikacijske tvrtke dugo su bile glavna meta grupa kibernetičkih prijetnji povezanih s Kinom, a Earth Estries pridružile su se ostalima kao što su Granite Typhoon i Liminal Panda. Ovi napadi otkrivaju povećano sazrijevanje kineskog kibernetičkog programa, koji je prešao s jednokratnih napada na skupno prikupljanje podataka i kontinuirane kampanje usmjerene na ključne pružatelje usluga. Fokus Earth Estries na pružatelje upravljanih usluga (MSP-ove), pružatelje internetskih usluga (ISP-ove) i pružatelje platformi signalizira promjenu u kineskoj strategiji za dobivanje kontinuiranog pristupa globalnim komunikacijskim mrežama.

Zaključak: rastuća prijetnja kibernetičkom špijunažom

Kako Earth Estries nastavlja širiti svoje operacije, to naglašava rastuće sposobnosti skupina za kibernetičku špijunažu povezanih s Kinom. Korištenje sofisticiranog zlonamjernog softvera, u kombinaciji s fokusom na sektore kritične infrastrukture, pokazuje dobro organiziranu prijetnju koja se razvija. Za organizacije u pogođenim regijama potreba za pojačanim oprezom i snažnim mjerama kibernetičke sigurnosti nikada nije bila kritičnija.