GhostSpider Backdoor

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT), Užpakalinės durys, Kenkėjiška programa

Versti į:

Sudėtinga su Kinija susijusi kibernetinio šnipinėjimo grupė, žinoma kaip Earth Estries, nusitaikė į telekomunikacijų ir vyriausybines institucijas visoje Pietryčių Azijoje ir už jos ribų. Grupė naudojo įvairius pažangius metodus, kad įsiskverbtų į svarbias pramonės šakas, įskaitant nedokumentuojamą užpakalinių durų, pavadintų GhostSpider, naudojimą. Taip pat buvo pastebėta, kad šis grėsmės veikėjas naudojasi keliomis pažeidžiamomis vietomis, kad gautų neteisėtą prieigą prie savo taikinių, o tai atskleidžia didėjantį Kinijos kibernetinių pajėgumų sudėtingumą.

Turinys

GhostSpider: The Undocumented Backdoor

„GhostSpider“, naujas „Earth Estries“ arsenalo papildymas, buvo naudojamas kaip pagrindinis būdas įsiskverbti į tinklus. Šios užpakalinės durys yra labai tikslingos, specialiai sukurtos siekiant išnaudoti Pietryčių Azijos telekomunikacijų įmonių infrastruktūros trūkumus. „Earth Estries“ naudoja šį įrankį kartu su MASOL RAT (taip pat žinomas kaip „Backdr-NQ“), dar viena užpakalinė durelė, skirta „Linux“ ir vyriausybės tinklo sistemoms taikyti. Grupės strategija naudoti pagal užsakymą sukurtas kenkėjiškas programas užtikrina nuolatinį buvimą pažeistuose tinkluose, leidžiančius ilgalaikį kibernetinį šnipinėjimą.

Visuotinis pasiekiamumas: taikymas į kelis sektorius

„Earth Estries“ padarė didelę pažangą keldama pavojų įvairiems sektoriams, įskaitant telekomunikacijas, technologijas, konsultacijas, transportą, chemijos pramonę ir vyriausybines organizacijas. Grupės operacijos apima daugiau nei 20 aukų daugiau nei dešimtyje šalių, įskaitant Afganistaną, Braziliją, Indiją, Indoneziją, Malaiziją, Pietų Afriką, JAV ir Vietnamą. Šis platus taikymas pabrėžia grupės gebėjimus ir ambicijas – apie 150 aukų nukentėjo nuo jų veiklos, ypač JAV vyriausybėje ir privačiame sektoriuje.

Žemės įrankiai

Tarp daugybės „The Earth Estries“ turimų įrankių išsiskiria „Demodex“ rootkit ir „Deed RAT“ (taip pat žinomas kaip SNAPPYBEE). Šie įrankiai kartu su kitais, tokiais kaip „Crowdoor“ ir „TrillClient“, yra neatsiejami nuo grupės veiklos. Manoma, kad „ShadowPad“, kenkėjiškų programų šeima, plačiai naudojama Kinijos APT grupių, turėjo įtakos Deed RAT, galimo įpėdinio, kūrimui. Šios pažangios užpakalinės durys ir informacijos vagystės leidžia „The Earth Estries“ likti paslėptoms, išfiltruojant slaptą informaciją iš savo taikinių.

Pradinės prieigos pažeidžiamumų išnaudojimas

Kad pasiektų savo taikinius, „Earth Estries“ labai priklauso nuo N dienų pažeidžiamumų, kurie yra programinės įrangos trūkumai, kurie buvo viešai atskleisti, bet naudotojų dar nepataisyti. Kai kurios dažniausiai išnaudojamos spragos yra „Ivanti Connect Secure“, „Fortinet FortiClient EMS“, „Sophos Firewall“ ir „Microsoft Exchange Server“. Išnaudojus šias spragas, „Earth Estries“ įdiegia savo tinkintą kenkėjišką programinę įrangą, toliau įsiterpdama į pažeistą tinklą, kad galėtų atlikti ilgalaikę priežiūrą ir rinkti duomenis.

Sudėtinga ir gerai organizuota grupė

„Earth Estries“ veikia labai struktūrizuotu ir organizuotu požiūriu. Remiantis kelių kampanijų analize, atrodo, kad skirtingos grupės komandos yra atsakingos už taikymą pagal konkrečius regionus ir pramonės šakas. Grupės valdymo ir valdymo (C2) infrastruktūra taip pat yra decentralizuota, o atskiros komandos valdo skirtingas užpakalinių durų operacijas. Šis segmentavimas leidžia atlikti sudėtingesnes ir suderintas atakų serijas įvairiuose sektoriuose.

GhostSpider: kelių modulių implantas

„Earth Estries“ operacijų pagrindas yra „GhostSpider“ implantas. Šis sudėtingas įrankis palaiko ryšį su užpuoliko valdoma infrastruktūra per tinkintą protokolą, apsaugotą Transport Layer Security (TLS). Implantas pagal poreikį gali atgauti papildomus modulius, praplėsdamas jo funkcionalumą. Dėl savo lankstumo jis yra galingas ilgalaikio kibernetinio šnipinėjimo įrankis, leidžiantis Žemės estrijoms prisitaikyti ir tobulinti savo veiklą, atsižvelgiant į situaciją.

Slapčiojimo ir vengimo taktika

„Earth Estries“ naudoja įvairius slaptus metodus, kad būtų išvengta aptikimo. Grupė pradeda atakas nuo kraštinių įrenginių, palaipsniui išplečia savo pasiekiamumą debesų aplinkoje, todėl sunku aptikti jos buvimą. Išlaikydama žemą profilį ir pasislėpdama už infrastruktūros sluoksnių, „Earth Estries“ užtikrina, kad jos veikla ilgą laiką nebus aptikta, todėl galima nepertraukiamai rinkti duomenis.

Telekomunikacijų įmonės: dažnas taikinys

Telekomunikacijų bendrovės ilgą laiką buvo pagrindinis su Kinija susijusių kibernetinių grėsmių grupių taikinys, o „Earth Estries“ prisijungė prie kitų, tokių kaip „Granite Typhoon“ ir „Liminal Panda“. Šios atakos atskleidžia didėjantį Kinijos kibernetinės programos brendimą, kuri perėjo nuo vienkartinių smūgių prie masinio duomenų rinkimo ir ilgalaikių kampanijų, skirtų svarbiems paslaugų teikėjams. „Earth Estries“ dėmesys valdomiems paslaugų teikėjams (MSP), interneto paslaugų teikėjams (IPT) ir platformų teikėjams rodo Kinijos strategijos pasikeitimą siekiant nuolatinės prieigos prie pasaulinių ryšių tinklų.

Išvada: didėjanti kibernetinio šnipinėjimo grėsmė

Kadangi „Earth Estries“ ir toliau plečia savo veiklą, ji pabrėžia augančius su Kinija susijusių kibernetinio šnipinėjimo grupių pajėgumus. Sudėtingų kenkėjiškų programų naudojimas kartu su dėmesiu kritinės infrastruktūros sektoriams rodo gerai organizuotą ir besikeičiančią grėsmę. Paveiktų regionų organizacijoms didesnis budrumas ir tvirtų kibernetinio saugumo priemonių poreikis niekada nebuvo toks svarbus.