GhostSpider Backdoor

Mezo -ra Advanced Persistent Threat (APT), Hátsó ajtók, Malware-ben

Fordítás ide:

Az Earth Estries néven ismert, kifinomult, Kínához köthető kiberkémkedési csoport távközlési és kormányzati szerveket céloz meg Délkelet-Ázsiában és azon túl is. A csoport számos fejlett technikát alkalmazott, hogy beszivárogjon a kritikus iparágakba, beleértve a GhostSpider nevű, dokumentálatlan hátsó ajtót. Azt is megfigyelték, hogy ez a fenyegető szereplő számos sebezhetőséget kihasználva jogosulatlan hozzáférést nyert a célpontjaihoz, ami feltárja Kína kiberképességeinek egyre kifinomultabbá válását.

Tartalomjegyzék

GhostSpider: The Undocumented Backdoor

A GhostSpider, az Earth Estries arzenáljának új tagja, a hálózatokba való beszivárgás elsődleges módszereként szolgált. Ez a hátsó ajtó erősen célzott, kifejezetten a délkelet-ázsiai távközlési cégek infrastruktúrájának gyenge pontjainak kihasználására készült. Az Earth Estries ezt az eszközt a MASOL RAT (más néven Backdr-NQ), egy másik hátsó ajtó mellett használja a Linux és a kormányzati hálózati rendszerek megcélzására. A csoport egyedi készítésű rosszindulatú szoftvereket használó stratégiája biztosítja a folyamatos jelenlétet a feltört hálózatokon belül, lehetővé téve a hosszú távú kiberkémkedést.

Globális elérés: Több szektor megcélzása

Az Earth Estries jelentős előrelépéseket tett számos ágazat kompromittálásában, beleértve a távközlést, a technológiát, a tanácsadást, a szállítást, a vegyipart és a kormányzati szervezeteket. A csoport műveletei több mint 20 áldozatot ölelnek fel több mint tucat országban, köztük Afganisztánban, Brazíliában, Indiában, Indonéziában, Malajziában, Dél-Afrikában, az Egyesült Államokban és Vietnamban. Ez a széles körű célzás alátámasztja a csoport képességeit és ambícióit, a becslések szerint 150 áldozatot érint tevékenységük, különösen az Egyesült Államok kormányán és a magánszektoron belül.

A Föld eszközei Estries

A The Earth Estries rendelkezésére álló számos eszköz közül kiemelkedik a Demodex rootkit és a Deed RAT (más néven SNAPPYBEE). Ezek az eszközök, másokkal együtt, mint például a Crowdoor és a TrillClient, szerves részét képezik a csoport működésének. A ShadowPad, a kínai APT-csoportok által széles körben használt rosszindulatú programcsalád a feltételezések szerint befolyásolta a Deed RAT, egy valószínű utódja fejlesztését. Ezek a fejlett hátsó ajtók és információlopók lehetővé teszik a The Earth Estries számára, hogy rejtve maradjon, miközben érzékeny információkat szűrnek ki célpontjaikból.

A biztonsági rések kihasználása a kezdeti hozzáféréshez

A célpontokhoz való hozzáférés érdekében az Earth Estries nagymértékben támaszkodik az N-napos sebezhetőségekre, amelyek a nyilvánosan közzétett, de a felhasználók által még nem javított szoftverek hibái. A leggyakrabban kihasznált sebezhetőségek közé tartozik az Ivanti Connect Secure, a Fortinet FortiClient EMS, a Sophos Firewall és a Microsoft Exchange Server biztonsági rései. Amint ezeket a sérülékenységeket kihasználják, az Earth Estries beveti az egyéni rosszindulatú programjait, tovább beágyazva magát a feltört hálózatba hosszú távú megfigyelés és adatgyűjtés céljából.

Összetett és jól szervezett csoport

Az Earth Estries erősen strukturált és szervezett megközelítéssel működik. Több kampány elemzése alapján úgy tűnik, hogy a csoporton belül különböző csapatok felelősek bizonyos régiók és iparágak megcélzásáért. A csoport Command-and-Control (C2) infrastruktúrája szintén decentralizált, különálló csapatok kezelik a különböző hátsó ajtó műveleteket. Ez a szegmentálás lehetővé teszi a támadások összetettebb és összehangoltabb sorozatát a különböző szektorokban.

GhostSpider: Többmodulos implantátum

Az Earth Estries működésének középpontjában a GhostSpider implantátum áll. Ez a kifinomult eszköz a Transport Layer Security (TLS) által védett egyéni protokollon keresztül kommunikál a támadók által vezérelt infrastruktúrával. Az implantátum szükség szerint további modulokat tud lekérni, bővítve ezzel funkcionalitását. Rugalmassága hatékony eszközzé teszi a hosszú távú kiberkémkedéshez, lehetővé téve a Föld Estries számára, hogy a helyzetnek megfelelően alkalmazkodjanak és fejlesszék műveleteiket.

Lopakodó és kijátszási taktika

Az Earth Estries különféle lopakodó technikákat alkalmaz az észlelés elkerülése érdekében. A csoport támadásait a szélső eszközökön kezdi, fokozatosan kiterjesztve a felhőkörnyezetekre, megnehezítve jelenlétének észlelését. Az alacsony profil fenntartásával és az infrastruktúra rétegei mögé bújva az Earth Estries biztosítja, hogy tevékenységei hosszabb ideig észrevétlenül maradjanak, lehetővé téve a megszakítás nélküli adatgyűjtést.

Távközlési vállalatok: gyakori célpont

A távközlési vállalatok régóta a Kínához köthető kiberfenyegető csoportok elsődleges célpontjai, az Earth Estries pedig csatlakozott olyan csoportokhoz, mint a Granite Typhoon és a Liminal Panda. Ezek a támadások rávilágítanak a kínai kiberprogram fokozott érettségére, amely az egyszeri csapásokról a tömeges adatgyűjtésre és a kritikus szolgáltatókat célzó folyamatos kampányokra váltott. Az Earth Estries felügyelt szolgáltatókra (MSP), internetszolgáltatókra (ISP) és platformszolgáltatókra való összpontosítása azt jelzi, hogy Kína stratégiája megváltozik a globális kommunikációs hálózatokhoz való folyamatos hozzáférésre.

Következtetés: Növekvő kiberkémkedési fenyegetés

Ahogy az Earth Estries tovább bővíti tevékenységét, rávilágít a Kínához köthető kiberkémkedési csoportok növekvő képességeire. A kifinomult rosszindulatú programok használata a kritikus infrastrukturális szektorokra való összpontosítással kombinálva jól szervezett és fejlődő fenyegetést jelez. Az érintett régiókban működő szervezetek számára a fokozott éberség és a határozott kiberbiztonsági intézkedések iránti igény soha nem volt ennyire kritikus.