Tylne drzwi GhostSpider

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Tylne drzwi, Złośliwe oprogramowanie

Przetłumacz na:

Wyrafinowana grupa cybernetycznego szpiegostwa powiązana z Chinami, znana jako Earth Estries, atakuje podmioty telekomunikacyjne i rządowe w Azji Południowo-Wschodniej i poza nią. Grupa ta zastosowała szereg zaawansowanych technik, aby zinfiltrować kluczowe gałęzie przemysłu, w tym używając nieudokumentowanego tylnego wejścia o nazwie GhostSpider. Zaobserwowano również, że ten aktor zagrożeń wykorzystuje kilka luk w celu uzyskania nieautoryzowanego dostępu do swoich celów, ujawniając rosnącą wyrafinowaną cybernetyczną zdolność Chin.

Spis treści

GhostSpider: Nieudokumentowane tylne wejście

GhostSpider, nowy dodatek do arsenału Earth Estries, był używany jako podstawowa metoda infiltracji sieci. To tylne wejście jest bardzo ukierunkowane, specjalnie stworzone, aby wykorzystywać słabości w infrastrukturze firm telekomunikacyjnych z Azji Południowo-Wschodniej. Earth Estries używa tego narzędzia wraz z MASOL RAT (znanym również jako Backdr-NQ), innym tylnym wejściem, aby atakować zarówno systemy Linux, jak i rządowe. Strategia grupy polegająca na wykorzystaniu niestandardowego złośliwego oprogramowania zapewnia stałą obecność w naruszonych sieciach, umożliwiając długoterminowe cybernetyczne szpiegostwo.

Zasięg globalny: kierowanie do wielu sektorów

Earth Estries poczyniło znaczące postępy w kompromitacji szerokiego zakresu sektorów, w tym telekomunikacji, technologii, doradztwa, transportu, przemysłu chemicznego i organizacji rządowych. Działania grupy obejmują ponad 20 ofiar w ponad tuzinie krajów, w tym Afganistanie, Brazylii, Indiach, Indonezji, Malezji, RPA, USA i Wietnamie. To szerokie ukierunkowanie podkreśla możliwości i ambicje grupy, z szacunkową liczbą 150 ofiar dotkniętych ich działaniami, szczególnie w rządzie USA i sektorze prywatnym.

Narzędzia Ziemi Estries

Wśród wielu narzędzi, którymi dysponuje The Earth Estries, wyróżniają się rootkit Demodex i Deed RAT (znany również jako SNAPPYBEE). Te narzędzia, wraz z innymi, takimi jak Crowdoor i TrillClient, są integralną częścią działalności grupy. Uważa się, że ShadowPad, rodzina malware szeroko wykorzystywana przez chińskie grupy APT, wpłynęła na rozwój Deed RAT, prawdopodobnego następcy. Te zaawansowane tylne furtki i złodzieje informacji pozwalają The Earth Estries pozostać ukrytym, jednocześnie eksfiltrując poufne informacje od swoich celów.

Wykorzystywanie luk w zabezpieczeniach w celu uzyskania dostępu początkowego

Aby uzyskać dostęp do swoich celów, Earth Estries w dużym stopniu opiera się na lukach N-day, które są wadami oprogramowania, które zostały ujawnione publicznie, ale jeszcze nie zostały załatane przez użytkowników. Niektóre z najczęściej wykorzystywanych luk obejmują te w Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall i Microsoft Exchange Server. Po wykorzystaniu tych luk Earth Estries wdraża własne złośliwe oprogramowanie, jeszcze bardziej osadzając się w naruszonej sieci w celu długoterminowego nadzoru i gromadzenia danych.

Złożona i dobrze zorganizowana grupa

Earth Estries działa w oparciu o wysoce ustrukturyzowane i zorganizowane podejście. Na podstawie analizy kilku kampanii wydaje się, że różne zespoły w grupie są odpowiedzialne za ukierunkowanie na konkretne regiony i branże. Infrastruktura Command-and-Control (C2) grupy jest również zdecentralizowana, a różne zespoły zarządzają różnymi operacjami backdoor. Ta segmentacja umożliwia bardziej złożoną i skoordynowaną serię ataków w różnych sektorach.

GhostSpider: Implant wielomodułowy

Sercem operacji Earth Estries jest implant GhostSpider. To wyrafinowane narzędzie komunikuje się z infrastrukturą kontrolowaną przez atakującego za pośrednictwem niestandardowego protokołu zabezpieczonego przez Transport Layer Security (TLS). Implant może pobierać dodatkowe moduły w razie potrzeby, rozszerzając swoją funkcjonalność. Jego elastyczność sprawia, że jest potężnym narzędziem do długoterminowego cybernetycznego szpiegostwa, pozwalając Earth Estries dostosowywać i rozwijać swoje operacje w zależności od sytuacji.

Taktyki skradania się i unikania

Earth Estries stosuje różne techniki stealth, aby uniknąć wykrycia. Grupa rozpoczyna ataki na urządzeniach brzegowych, stopniowo rozszerzając swój zasięg na środowiska chmurowe, co utrudnia wykrycie jej obecności. Utrzymując niski profil i ukrywając się za warstwami infrastruktury, Earth Estries zapewnia, że jej działania pozostają niezauważone przez dłuższy czas, umożliwiając nieprzerwane zbieranie danych.

Firmy telekomunikacyjne: częsty cel

Firmy telekomunikacyjne od dawna są głównym celem dla powiązanych z Chinami grup cyberzagrożeń, a Earth Estries dołącza do szeregów innych, takich jak Granite Typhoon i Liminal Panda. Ataki te ujawniają wzrost dojrzałości chińskiego programu cybernetycznego, który przeszedł od jednorazowych ataków do masowego gromadzenia danych i ciągłych kampanii skierowanych do kluczowych dostawców usług. Skupienie Earth Estries na dostawcach usług zarządzanych (MSP), dostawcach usług internetowych (ISP) i dostawcach platform sygnalizuje zmianę strategii Chin w celu uzyskania ciągłego dostępu do globalnych sieci komunikacyjnych.

Wnioski: Rosnące zagrożenie cybernetycznym szpiegostwem

W miarę jak Earth Estries kontynuuje rozszerzanie swoich operacji, podkreśla rosnące możliwości powiązanych z Chinami grup cybernetycznego szpiegostwa. Wykorzystanie wyrafinowanego złośliwego oprogramowania w połączeniu z koncentracją na sektorach infrastruktury krytycznej pokazuje dobrze zorganizowane i rozwijające się zagrożenie. Dla organizacji w dotkniętych regionach potrzeba zwiększonej czujności i solidnych środków cyberbezpieczeństwa nigdy nie była tak krytyczna.