Porta sul retro di GhostSpider

Entro Mezo nel Minaccia persistente avanzata (APT), Porte sul retro, Malware

Traduci in:

Un sofisticato gruppo di cyberspionaggio legato alla Cina, noto come Earth Estries, ha preso di mira enti governativi e di telecomunicazioni in tutto il Sud-est asiatico e oltre. Il gruppo ha impiegato una serie di tecniche avanzate per infiltrarsi in settori critici, tra cui l'uso di una backdoor non documentata denominata GhostSpider. Questo autore della minaccia è stato anche osservato mentre sfruttava diverse vulnerabilità per ottenere un accesso non autorizzato ai suoi obiettivi, rivelando la crescente sofisticatezza delle capacità informatiche della Cina.

Sommario

GhostSpider: la backdoor non documentata

GhostSpider, una nuova aggiunta all'arsenale degli Earth Estries, è stato utilizzato come metodo primario per infiltrarsi nelle reti. Questa backdoor è altamente mirata, creata appositamente per sfruttare le debolezze nell'infrastruttura delle aziende di telecomunicazioni del sud-est asiatico. Gli Earth Estries utilizzano questo strumento insieme al MASOL RAT (noto anche come Backdr-NQ), un'altra backdoor, per colpire sia i sistemi di rete Linux che quelli governativi. La strategia del gruppo di utilizzare malware personalizzati assicura una presenza persistente all'interno delle reti compromesse, consentendo lo spionaggio informatico a lungo termine.

Una portata globale: puntare a più settori

Earth Estries ha compiuto passi da gigante nel compromettere un'ampia gamma di settori, tra cui telecomunicazioni, tecnologia, consulenza, trasporti, industrie chimiche e organizzazioni governative. Le operazioni del gruppo coprono oltre 20 vittime in più di una dozzina di paesi, tra cui Afghanistan, Brasile, India, Indonesia, Malesia, Sudafrica, Stati Uniti e Vietnam. Questa ampia attività di targeting sottolinea la capacità e l'ambizione del gruppo, con una stima di 150 vittime colpite dalle loro attività, in particolare all'interno del governo degli Stati Uniti e del settore privato.

Gli strumenti della terra Estries

Tra i numerosi strumenti a disposizione di The Earth Estries, spiccano il rootkit Demodex e Deed RAT (noto anche come SNAPPYBEE). Questi strumenti, insieme ad altri come Crowdoor e TrillClient, sono parte integrante delle operazioni del gruppo. Si ritiene che ShadowPad, una famiglia di malware ampiamente utilizzata dai gruppi APT cinesi, abbia influenzato lo sviluppo di Deed RAT, un probabile successore. Queste backdoor avanzate e i ladri di informazioni consentono a The Earth Estries di rimanere nascosti mentre esfiltrano informazioni sensibili dai loro obiettivi.

Sfruttamento delle vulnerabilità per l'accesso iniziale

Per ottenere l'accesso ai suoi obiettivi, Earth Estries si affida pesantemente alle vulnerabilità N-day, che sono difetti nel software che sono stati divulgati pubblicamente ma non ancora corretti dagli utenti. Alcune delle vulnerabilità più comunemente sfruttate includono quelle in Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall e Microsoft Exchange Server. Una volta sfruttate queste vulnerabilità, Earth Estries distribuisce il suo malware personalizzato, integrandosi ulteriormente nella rete compromessa per la sorveglianza a lungo termine e la raccolta dati.

Un gruppo complesso e ben organizzato

Earth Estries opera con un approccio altamente strutturato e organizzato. Sulla base dell'analisi di diverse campagne, sembra che diversi team all'interno del gruppo siano responsabili di colpire regioni e settori specifici. Anche l'infrastruttura di comando e controllo (C2) del gruppo è decentralizzata, con team distinti che gestiscono diverse operazioni backdoor. Questa segmentazione consente una serie di attacchi più complessi e coordinati in vari settori.

GhostSpider: un impianto multi-modulo

Al centro delle operazioni degli Earth Estries c'è l'impianto GhostSpider. Questo sofisticato strumento comunica con l'infrastruttura controllata dall'aggressore tramite un protocollo personalizzato protetto da Transport Layer Security (TLS). L'impianto può recuperare moduli aggiuntivi in base alle necessità, espandendo la sua funzionalità. La sua flessibilità lo rende uno strumento potente per lo spionaggio informatico a lungo termine, consentendo agli Earth Estries di adattare ed evolvere le sue operazioni in base alle esigenze della situazione.

Tattiche furtive ed evasive

Earth Estries impiega una varietà di tecniche stealth per evitare di essere rilevati. Il gruppo inizia i suoi attacchi sui dispositivi edge, estendendo gradualmente la sua portata negli ambienti cloud, rendendo difficile rilevarne la presenza. Mantenendo un basso profilo e nascondendosi dietro strati di infrastruttura, Earth Estries assicura che le sue attività passino inosservate per lunghi periodi, consentendo una raccolta dati ininterrotta.

Le aziende di telecomunicazioni: un bersaglio frequente

Le società di telecomunicazioni sono da tempo un obiettivo primario per i gruppi di minacce informatiche legati alla Cina, con gli Earth Estries che si uniscono alle fila di altri come Granite Typhoon e Liminal Panda. Questi attacchi rivelano la crescente maturazione del programma informatico cinese, che è passato da attacchi una tantum a raccolte di dati in massa e campagne sostenute mirate a provider di servizi critici. L'attenzione degli Earth Estries sui Managed Service Provider (MSP), Internet Service Provider (ISP) e platform provider segnala un cambiamento nella strategia della Cina per ottenere un accesso continuo alle reti di comunicazione globali.

Conclusione: una minaccia crescente di spionaggio informatico

Mentre Earth Estries continua ad espandere le sue operazioni, evidenzia le crescenti capacità dei gruppi di spionaggio informatico legati alla Cina. L'uso di malware sofisticati, combinato con un focus sui settori delle infrastrutture critiche, dimostra una minaccia ben organizzata e in evoluzione. Per le organizzazioni nelle regioni interessate, la necessità di una maggiore vigilanza e di misure di sicurezza informatica robuste non è mai stata così critica.