GhostSpider Backdoor

Līdz Mezo. gadam Advanced Persistent Threat (APT), Aizmugures durvis, Ļaunprātīga programmatūra. gadā

Tulkot uz:

Sarežģīta ar Ķīnu saistīta kiberspiegošanas grupa, kas pazīstama kā Earth Estries, ir vērsta uz telekomunikāciju un valdības iestādēm visā Dienvidaustrumāzijā un ārpus tās. Grupa ir izmantojusi dažādas progresīvas metodes, lai iefiltrētos kritiskās nozarēs, tostarp izmantojot nedokumentētu aizmugures durvis ar nosaukumu GhostSpider. Tika novērots, ka šis apdraudējuma dalībnieks izmanto vairākas ievainojamības, lai iegūtu nesankcionētu piekļuvi saviem mērķiem, atklājot Ķīnas kiberspēju pieaugošo sarežģītību.

Satura rādītājs

GhostSpider: Nedokumentētās aizmugures durvis

GhostSpider, jauns Zemes Estries arsenāla papildinājums, ir izmantots kā galvenā metode, lai iefiltrētos tīklos. Šīs aizmugures durvis ir ļoti mērķtiecīgas, īpaši izstrādātas, lai izmantotu Dienvidaustrumāzijas telekomunikāciju uzņēmumu infrastruktūras trūkumus. Earth Estries izmanto šo rīku kopā ar MASOL RAT (pazīstams arī kā Backdr-NQ), kas ir vēl viens aizmugures durvis, lai mērķētu gan uz Linux, gan valdības tīkla sistēmām. Grupas stratēģija izmantot pielāgotu ļaunprātīgu programmatūru nodrošina pastāvīgu klātbūtni apdraudētos tīklos, nodrošinot ilgtermiņa kiberspiegošanu.

Globāla sasniedzamība: mērķēšana uz vairākām nozarēm

Uzņēmums Earth Estries ir guvis ievērojamus panākumus, apdraudot dažādas nozares, tostarp telekomunikācijas, tehnoloģijas, konsultācijas, transportu, ķīmisko rūpniecību un valdības organizācijas. Grupas operācijas aptver vairāk nekā 20 upurus vairāk nekā desmit valstīs, tostarp Afganistānā, Brazīlijā, Indijā, Indonēzijā, Malaizijā, Dienvidāfrikā, ASV un Vjetnamā. Šī plašā mērķauditorijas atlase pasvītro grupas spējas un ambīcijas, un tiek lēsts, ka viņu darbības ir skārušas aptuveni 150 upurus, īpaši ASV valdībā un privātajā sektorā.

Zemes instrumenti Estries

Starp daudzajiem The Earth Estries rīcībā esošajiem rīkiem izceļas Demodex sakņu komplekts un Deed RAT (pazīstams arī kā SNAPPYBEE). Šie rīki kopā ar citiem, piemēram, Crowdoor un TrillClient, ir grupas darbību neatņemama sastāvdaļa. Tiek uzskatīts, ka ShadowPad, ļaundabīgo programmu saime, ko plaši izmanto Ķīnas APT grupas, ir ietekmējusi Deed RAT, kas ir iespējamā pēctece, attīstību. Šīs uzlabotās aizmugures durvis un informācijas zagļi ļauj The Earth Estries palikt paslēptiem, vienlaikus izfiltrējot sensitīvu informāciju no saviem mērķiem.

Ievainojamību izmantošana sākotnējai piekļuvei

Lai piekļūtu saviem mērķiem, Earth Estries lielā mērā paļaujas uz N dienu ievainojamību, kas ir programmatūras trūkumi, kas ir publiski izpausti, bet kuru lietotāji vēl nav labojuši. Dažas no visbiežāk izmantotajām ievainojamībām ietver Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall un Microsoft Exchange Server ievainojamības. Kad šīs ievainojamības tiek izmantotas, Earth Estries izvieto savu pielāgoto ļaunprogrammatūru, tālāk iekļaujoties apdraudētajā tīklā ilgtermiņa uzraudzībai un datu vākšanai.

Sarežģīta un labi organizēta grupa

Zemes Estries darbojas ar ļoti strukturētu un organizētu pieeju. Pamatojoties uz vairāku kampaņu analīzi, šķiet, ka dažādas grupas grupas ir atbildīgas par mērķauditorijas atlasi konkrētiem reģioniem un nozarēm. Grupas vadības un kontroles (C2) infrastruktūra arī ir decentralizēta, un atsevišķas komandas pārvalda dažādas aizmugures darbības. Šī segmentācija ļauj veikt sarežģītāku un saskaņotāku uzbrukumu sēriju dažādos sektoros.

GhostSpider: vairāku moduļu implants

Zemes Estries darbību pamatā ir GhostSpider implants. Šis sarežģītais rīks sazinās ar uzbrucēju kontrolētu infrastruktūru, izmantojot pielāgotu protokolu, ko nodrošina transporta slāņa drošība (TLS). Implants pēc vajadzības var izgūt papildu moduļus, paplašinot tā funkcionalitāti. Tā elastība padara to par spēcīgu instrumentu ilgstošai kiberspiegošanai, ļaujot Earth Estries pielāgoties un attīstīt savas darbības atbilstoši situācijai.

Maskēšanās un izvairīšanās taktika

Earth Estries izmanto dažādas slepenas metodes, lai izvairītos no atklāšanas. Grupa sāk uzbrukumus no malas ierīcēm, pakāpeniski paplašinot savu sasniedzamību mākoņu vidēs, apgrūtinot tās klātbūtnes noteikšanu. Uzturot zemu profilu un slēpjoties aiz infrastruktūras slāņiem, Earth Estries nodrošina, ka tās darbības ilgstoši netiek atklātas, ļaujot nepārtraukti vākt datus.

Telekomunikāciju uzņēmumi: bieži sastopams mērķis

Telekomunikāciju uzņēmumi jau sen ir bijuši galvenais mērķis ar Ķīnu saistītajām kiberdraudu grupām, un Earth Estries pievienojas citām grupām, piemēram, Granite Typhoon un Liminal Panda. Šie uzbrukumi atklāj Ķīnas kiberprogrammas pieaugošo nobriešanu, kas ir pārgājusi no vienreizējiem streikiem uz lielapjoma datu vākšanu un ilgstošām kampaņām, kuru mērķis ir kritisko pakalpojumu sniedzēji. Earth Estries koncentrēšanās uz pārvaldītajiem pakalpojumu sniedzējiem (MSP), interneta pakalpojumu sniedzējiem (ISP) un platformu nodrošinātājiem liecina par izmaiņām Ķīnas stratēģijā, lai iegūtu nepārtrauktu piekļuvi globālajiem sakaru tīkliem.

Secinājums: pieaugoši kiberspiegošanas draudi

Tā kā Earth Estries turpina paplašināt savu darbību, tas izceļ ar Ķīnu saistīto kiberspiegošanas grupu pieaugošās spējas. Sarežģītas ļaunprātīgas programmatūras izmantošana apvienojumā ar koncentrēšanos uz kritiskās infrastruktūras nozarēm liecina par labi organizētu un mainīgu apdraudējumu. Organizācijām skartajos reģionos nepieciešamība pēc pastiprinātas modrības un stingriem kiberdrošības pasākumiem nekad nav bijusi tik kritiska.