GhostSpider-achterdeur

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes, Malware

Vertalen naar:

Een geavanceerde cyberespionagegroep met Chinese banden, bekend als de Earth Estries, heeft telecommunicatie- en overheidsinstanties in Zuidoost-Azië en daarbuiten als doelwit. De groep heeft een verscheidenheid aan geavanceerde technieken gebruikt om kritieke industrieën te infiltreren, waaronder het gebruik van een ongedocumenteerde backdoor genaamd GhostSpider. Deze dreigingsactor is ook waargenomen bij het misbruiken van verschillende kwetsbaarheden om ongeautoriseerde toegang te krijgen tot zijn doelen, wat de toenemende verfijning van China's cybercapaciteiten onthult.

Inhoudsopgave

GhostSpider: De ongedocumenteerde achterdeur

GhostSpider, een nieuwe toevoeging aan het arsenaal van de Earth Estries, is gebruikt als primaire methode om netwerken te infiltreren. Deze backdoor is zeer gericht, specifiek ontworpen om zwakke plekken in de infrastructuur van telecommunicatiebedrijven in Zuidoost-Azië te exploiteren. De Earth Estries gebruikt deze tool samen met de MASOL RAT (ook bekend als Backdr-NQ), een andere backdoor, om zowel Linux als overheidsnetwerksystemen te targeten. De strategie van de groep om op maat gemaakte malware te gebruiken, zorgt voor een aanhoudende aanwezigheid binnen gecompromitteerde netwerken, wat cyberespionage op de lange termijn mogelijk maakt.

Een wereldwijd bereik: gericht op meerdere sectoren

De Earth Estries heeft aanzienlijke stappen gezet in het compromitteren van een breed scala aan sectoren, waaronder telecommunicatie, technologie, consultancy, transport, chemische industrie en overheidsorganisaties. De activiteiten van de groep omvatten meer dan 20 slachtoffers in meer dan een dozijn landen, waaronder Afghanistan, Brazilië, India, Indonesië, Maleisië, Zuid-Afrika, de VS en Vietnam. Deze brede targeting onderstreept de capaciteit en ambitie van de groep, met naar schatting 150 slachtoffers die door hun activiteiten zijn getroffen, met name binnen de Amerikaanse overheid en de particuliere sector.

De gereedschappen van de aarde Estries

Onder de vele tools die The Earth Estries tot hun beschikking heeft, vallen de Demodex rootkit en Deed RAT (ook bekend als SNAPPYBEE) op. Deze tools, samen met andere tools zoals Crowdoor en TrillClient, zijn integraal onderdeel van de activiteiten van de groep. ShadowPad, een malwarefamilie die veel wordt gebruikt door Chinese APT-groepen, zou de ontwikkeling van Deed RAT, een waarschijnlijke opvolger, hebben beïnvloed. Deze geavanceerde backdoors en informatiedieven stellen The Earth Estries in staat om verborgen te blijven terwijl ze gevoelige informatie van hun doelwitten exfiltreren.

Exploiteren van kwetsbaarheden voor eerste toegang

Om toegang te krijgen tot zijn doelen, vertrouwt de Earth Estries zwaar op N-day kwetsbaarheden, wat fouten in software zijn die openbaar zijn gemaakt maar nog niet door gebruikers zijn gepatcht. Enkele van de meest misbruikte kwetsbaarheden zijn die in Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall en Microsoft Exchange Server. Zodra deze kwetsbaarheden zijn misbruikt, implementeert de Earth Estries zijn aangepaste malware, die zichzelf verder in het gecompromitteerde netwerk nestelt voor langetermijnbewaking en gegevensverzameling.

Een complexe en goed georganiseerde groep

De Earth Estries werkt met een zeer gestructureerde en georganiseerde aanpak. Op basis van de analyse van verschillende campagnes lijkt het erop dat verschillende teams binnen de groep verantwoordelijk zijn voor het targeten van specifieke regio's en industrieën. De Command-and-Control (C2)-infrastructuur van de groep is ook gedecentraliseerd, met afzonderlijke teams die verschillende backdoor-operaties beheren. Deze segmentatie maakt een complexere en gecoördineerde reeks aanvallen in verschillende sectoren mogelijk.

GhostSpider: een implantaat met meerdere modules

Het hart van de activiteiten van de Earth Estries is het GhostSpider-implantaat. Deze geavanceerde tool communiceert met door aanvallers gecontroleerde infrastructuur via een aangepast protocol dat is beveiligd door Transport Layer Security (TLS). Het implantaat kan indien nodig extra modules ophalen, waardoor de functionaliteit wordt uitgebreid. De flexibiliteit ervan maakt het een krachtig hulpmiddel voor cyberespionage op de lange termijn, waardoor de Earth Estries hun activiteiten kunnen aanpassen en laten evolueren naarmate de situatie daarom vraagt.

Stealth- en ontwijkingstechnieken

De Earth Estries gebruikt verschillende stealth-technieken om detectie te voorkomen. De groep begint haar aanvallen bij de randapparaten en breidt haar bereik geleidelijk uit naar cloudomgevingen, waardoor het moeilijk wordt om haar aanwezigheid te detecteren. Door een laag profiel te behouden en zich te verstoppen achter lagen infrastructuur, zorgt de Earth Estries ervoor dat haar activiteiten gedurende langere perioden onopgemerkt blijven, waardoor ononderbroken gegevensverzameling mogelijk is.

Telecommunicatiebedrijven: een veelvoorkomend doelwit

Telecommunicatiebedrijven zijn al lang een belangrijk doelwit voor cyberdreigingsgroepen die aan China zijn gelinkt, waarbij de Earth Estries zich bij anderen voegen, zoals Granite Typhoon en Liminal Panda. Deze aanvallen onthullen de toegenomen rijping van China's cyberprogramma, dat is verschoven van eenmalige aanvallen naar het verzamelen van bulkgegevens en aanhoudende campagnes gericht op kritieke serviceproviders. De focus van de Earth Estries op Managed Service Providers (MSP's), Internet Service Providers (ISP's) en platformproviders signaleert een verschuiving in China's strategie om continue toegang te krijgen tot wereldwijde communicatienetwerken.

Conclusie: een groeiende cyberspionagedreiging

Terwijl Earth Estries haar activiteiten blijft uitbreiden, benadrukt het de groeiende capaciteiten van cyberespionagegroepen die aan China zijn gelinkt. Het gebruik van geavanceerde malware, gecombineerd met een focus op kritieke infrastructuursectoren, toont een goed georganiseerde en evoluerende dreiging. Voor organisaties in de getroffen regio's is de behoefte aan verhoogde waakzaamheid en robuuste cyberbeveiligingsmaatregelen nog nooit zo groot geweest.