Pintu Belakang GhostSpider
Kumpulan pengintipan siber berkaitan China yang canggih yang dikenali sebagai Earth Estries telah menyasarkan telekomunikasi dan entiti kerajaan di seluruh Asia Tenggara dan seterusnya. Kumpulan itu telah menggunakan pelbagai teknik canggih untuk menyusup masuk ke dalam industri kritikal, termasuk menggunakan pintu belakang tanpa dokumen bernama GhostSpider. Aktor ancaman ini juga telah diperhatikan mengeksploitasi beberapa kelemahan untuk mendapatkan akses tanpa kebenaran kepada sasarannya, mendedahkan peningkatan kecanggihan keupayaan siber China.
Isi kandungan
GhostSpider: Pintu Belakang Tanpa Dokumen
GhostSpider, tambahan baharu kepada senjata Earth Estries, telah digunakan sebagai kaedah utama untuk menyusup ke rangkaian. Pintu belakang ini sangat disasarkan, direka khusus untuk mengeksploitasi kelemahan dalam infrastruktur firma telekomunikasi Asia Tenggara. Earth Estries menggunakan alat ini bersama MASOL RAT (juga dikenali sebagai Backdr-NQ), satu lagi pintu belakang, untuk menyasarkan kedua-dua sistem rangkaian Linux dan kerajaan. Strategi kumpulan menggunakan perisian hasad buatan tersuai memastikan kehadiran berterusan dalam rangkaian yang terjejas, membolehkan pengintipan siber jangka panjang.
Jangkauan Global: Menyasarkan Pelbagai Sektor
Earth Estries telah mencapai kemajuan yang ketara dalam menjejaskan pelbagai sektor, termasuk telekomunikasi, teknologi, perundingan, pengangkutan, industri kimia dan organisasi kerajaan. Operasi kumpulan itu menjangkau lebih 20 mangsa di lebih sedozen negara, termasuk Afghanistan, Brazil, India, Indonesia, Malaysia, Afrika Selatan, AS dan Vietnam. Sasaran luas ini menekankan keupayaan dan cita-cita kumpulan itu, dengan anggaran 150 mangsa terjejas oleh aktiviti mereka, terutamanya dalam sektor kerajaan dan swasta AS.
Alat Estries Bumi
Di antara banyak alat yang digunakan oleh The Earth Estries, rootkit Demodex dan Deed RAT (juga dikenali sebagai SNAPPYBEE) menonjol. Alat ini, bersama-sama dengan yang lain seperti Crowdoor dan TrillClient, adalah penting dalam operasi kumpulan. ShadowPad, keluarga perisian hasad yang digunakan secara meluas oleh kumpulan APT China, dipercayai telah mempengaruhi pembangunan Deed RAT, kemungkinan pengganti. Pintu belakang dan pencuri maklumat lanjutan ini membenarkan The Earth Estries kekal tersembunyi sambil mengeluarkan maklumat sensitif daripada sasaran mereka.
Memanfaatkan Kerentanan untuk Akses Permulaan
Untuk mendapatkan akses kepada sasarannya, Earth Estries sangat bergantung pada kelemahan N-day, yang merupakan kecacatan dalam perisian yang telah didedahkan secara terbuka tetapi belum ditambal oleh pengguna. Beberapa kelemahan yang paling kerap dieksploitasi termasuk yang terdapat dalam Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall dan Microsoft Exchange Server. Sebaik sahaja kelemahan ini dieksploitasi, Earth Estries menggunakan perisian hasad tersuainya, seterusnya membenamkan dirinya ke dalam rangkaian yang terjejas untuk pengawasan jangka panjang dan pengumpulan data.
Kumpulan yang Kompleks dan Tersusun
Earth Estries beroperasi dengan pendekatan yang sangat berstruktur dan teratur. Berdasarkan analisis beberapa kempen, nampaknya pasukan berbeza dalam kumpulan bertanggungjawab untuk menyasarkan wilayah dan industri tertentu. Infrastruktur Perintah-dan-Kawalan (C2) kumpulan juga tidak berpusat, dengan pasukan berbeza menguruskan operasi pintu belakang yang berbeza. Segmentasi ini membolehkan siri serangan yang lebih kompleks dan terselaras merentas pelbagai sektor.
GhostSpider: Implan Berbilang Modul
Di tengah-tengah operasi Earth Estries ialah implan GhostSpider. Alat canggih ini berkomunikasi dengan infrastruktur dikawal penyerang melalui protokol tersuai yang dilindungi oleh Transport Layer Security (TLS). Implan boleh mendapatkan semula modul tambahan seperti yang diperlukan, mengembangkan fungsinya. Fleksibilitinya menjadikannya alat yang berkuasa untuk pengintipan siber jangka panjang, membolehkan Earth Estries menyesuaikan dan mengembangkan operasinya mengikut keperluan situasi.
Taktik Bersembunyi dan Mengelak
Earth Estries menggunakan pelbagai teknik siluman untuk mengelakkan pengesanan. Kumpulan itu memulakan serangannya pada peranti tepi, secara beransur-ansur meluaskan jangkauannya ke dalam persekitaran awan, menjadikannya sukar untuk mengesan kehadirannya. Dengan mengekalkan profil rendah dan bersembunyi di sebalik lapisan infrastruktur, Earth Estries memastikan aktivitinya tidak dapat dikesan untuk tempoh yang panjang, membolehkan pengumpulan data tanpa gangguan.
Syarikat Telekomunikasi: Sasaran Kerap
Syarikat telekomunikasi telah lama menjadi sasaran utama bagi kumpulan ancaman siber berkaitan China, dengan Earth Estries menyertai barisan lain seperti Granite Typhoon dan Liminal Panda. Serangan ini mendedahkan peningkatan kematangan program siber China, yang telah beralih daripada serangan sekali sahaja kepada pengumpulan data pukal dan kempen berterusan yang bertujuan untuk penyedia perkhidmatan kritikal. Fokus Earth Estries pada Pembekal Perkhidmatan Terurus (MSP), Penyedia Perkhidmatan Internet (ISP) dan penyedia platform menandakan peralihan dalam strategi China untuk mendapatkan akses berterusan kepada rangkaian komunikasi global.
Kesimpulan: Ancaman Pengintipan Siber yang Berkembang
Apabila Earth Estries terus mengembangkan operasinya, ia menyerlahkan keupayaan yang semakin meningkat kumpulan pengintipan siber berkaitan China. Penggunaan perisian hasad yang canggih, digabungkan dengan tumpuan pada sektor infrastruktur kritikal, menunjukkan ancaman yang teratur dan berkembang. Bagi organisasi di wilayah yang terjejas, keperluan untuk meningkatkan kewaspadaan dan langkah keselamatan siber yang teguh tidak pernah menjadi lebih kritikal.
Video Pintu Belakang GhostSpider
Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .
