GhostSpider bakdør

Med Mezo i Advanced Persistent Threat (APT), Bakdører, Skadelig programvare

Oversett til:

En sofistikert Kina-tilknyttet cyberspionasjegruppe kjent som Earth Estries har rettet seg mot telekommunikasjon og offentlige enheter over hele Sørøst-Asia og utover. Gruppen har brukt en rekke avanserte teknikker for å infiltrere kritiske bransjer, inkludert bruk av en udokumentert bakdør kalt GhostSpider. Denne trusselaktøren har også blitt observert utnytte flere sårbarheter for å få uautorisert tilgang til sine mål, noe som avslører den økende sofistikeringen av Kinas cyberevner.

Innholdsfortegnelse

GhostSpider: The Undocumented Backdoor

GhostSpider, et nytt tillegg til Earth Estries arsenal, har blitt brukt som en primær metode for å infiltrere nettverk. Denne bakdøren er svært målrettet, spesielt laget for å utnytte svakheter i infrastrukturen til sørøstasiatiske telekommunikasjonsfirmaer. Earth Estries bruker dette verktøyet sammen med MASOL RAT (også kjent som Backdr-NQ), en annen bakdør, for å målrette mot både Linux og offentlige nettverkssystemer. Konsernets strategi med å bruke skreddersydd malware sikrer en vedvarende tilstedeværelse i kompromitterte nettverk, noe som muliggjør langsiktig cyberspionasje.

En global rekkevidde: Målretting mot flere sektorer

Earth Estries har gjort betydelige fremskritt i å kompromittere et bredt spekter av sektorer, inkludert telekommunikasjon, teknologi, rådgivning, transport, kjemisk industri og offentlige organisasjoner. Gruppens operasjoner spenner over 20 ofre i mer enn et dusin land, inkludert Afghanistan, Brasil, India, Indonesia, Malaysia, Sør-Afrika, USA og Vietnam. Denne brede målrettingen understreker gruppens evner og ambisjoner, med anslagsvis 150 ofre som er berørt av deres aktiviteter, spesielt innenfor amerikanske myndigheter og privat sektor.

The Tools of the Earth Estries

Blant de mange verktøyene The Earth Estries har til rådighet, skiller Demodex rootkit og Deed RAT (også kjent som SNAPPYBEE) seg ut. Disse verktøyene, sammen med andre som Crowdoor og TrillClient, er integrert i gruppens virksomhet. ShadowPad, en malware-familie som er mye brukt av kinesiske APT-grupper, antas å ha påvirket utviklingen av Deed RAT, en sannsynlig etterfølger. Disse avanserte bakdørene og informasjonstelerne lar The Earth Estries forbli skjult mens de eksfiltrerer sensitiv informasjon fra målene deres.

Utnyttelse av sårbarheter for førstegangstilgang

For å få tilgang til sine mål, er Earth Estries avhengig av N-dagers sårbarheter, som er feil i programvare som har blitt offentliggjort, men som ennå ikke er rettet av brukere. Noen av de mest utnyttede sårbarhetene inkluderer de i Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall og Microsoft Exchange Server. Når disse sårbarhetene er utnyttet, distribuerer Earth Estries sin egendefinerte skadevare, og bygger seg videre inn i det kompromitterte nettverket for langsiktig overvåking og datainnsamling.

En kompleks og velorganisert gruppe

Earth Estries opererer med en svært strukturert og organisert tilnærming. Basert på analysen av flere kampanjer, ser det ut til at ulike team innen konsernet har ansvar for å målrette spesifikke regioner og bransjer. Gruppens Command-and-Control (C2)-infrastruktur er også desentralisert, med distinkte team som administrerer forskjellige bakdørsoperasjoner. Denne segmenteringen gir mulighet for en mer kompleks og koordinert serie med angrep på tvers av ulike sektorer.

GhostSpider: A Multi-Module Implant

I hjertet av Earth Estries' virksomhet er GhostSpider-implantatet. Dette sofistikerte verktøyet kommuniserer med angriperkontrollert infrastruktur gjennom en tilpasset protokoll sikret av Transport Layer Security (TLS). Implantatet kan hente ut tilleggsmoduler etter behov, og utvide funksjonaliteten. Dens fleksibilitet gjør den til et kraftig verktøy for langsiktig cyberspionasje, som lar Earth Estries tilpasse seg og utvikle sine operasjoner ettersom situasjonen krever det.

Stealth and Evasion Taktics

Earth Estries bruker en rekke stealth-teknikker for å unngå oppdagelse. Gruppen starter sine angrep på kantene enheter, og utvider gradvis rekkevidden til skymiljøer, noe som gjør det vanskelig å oppdage deres tilstedeværelse. Ved å holde en lav profil og gjemme seg bak lag med infrastruktur, sørger Earth Estries for at aktivitetene ikke blir oppdaget i lengre perioder, noe som muliggjør uavbrutt datainnsamling.

Telekommunikasjonsselskaper: Et hyppig mål

Telekommunikasjonsselskaper har lenge vært et hovedmål for Kina-tilknyttede cybertrusselgrupper, med Earth Estries som føyer seg inn i rekken av andre som Granite Typhoon og Liminal Panda. Disse angrepene avslører den økte modningen av Kinas cyberprogram, som har skiftet fra engangsangrep til bulkdatainnsamling og vedvarende kampanjer rettet mot kritiske tjenesteleverandører. Earth Estries' fokus på Managed Service Providers (MSPs), Internet Service Providers (ISPs) og plattformleverandører signaliserer et skifte i Kinas strategi for å få kontinuerlig tilgang til globale kommunikasjonsnettverk.

Konklusjon: En voksende trussel om nettspionasje

Ettersom Earth Estries fortsetter å utvide sin virksomhet, fremhever den de økende evnene til Kina-tilknyttede cyberspionasjegrupper. Bruken av sofistikert skadelig programvare, kombinert med fokus på kritiske infrastruktursektorer, viser en godt organisert og utviklende trussel. For organisasjoner i de berørte regionene har behovet for økt årvåkenhet og robuste cybersikkerhetstiltak aldri vært mer kritisk.