GhostSpider Backdoor

Por Mezo em Ameaça Persistente Avançada (APT), Backdoors, Malware

Traduzir Para:

Um sofisticado grupo de espionagem cibernética ligado à China, conhecido como Earth Estries, tem como alvo entidades governamentais e de telecomunicações em todo o Sudeste Asiático e além. O grupo empregou uma variedade de técnicas avançadas para se infiltrar em indústrias críticas, incluindo o uso de um backdoor não documentado chamado GhostSpider. Este ator de ameaça também foi observado explorando várias vulnerabilidades para obter acesso não autorizado a seus alvos, revelando a crescente sofisticação das capacidades cibernéticas da China.

Índice

GhostSpider: O Backdoor não Documentado

GhostSpider, uma nova adição ao arsenal do Earth Estries, tem sido usado como um método primário para infiltrar redes. Este backdoor é altamente direcionado, criado especificamente para explorar fraquezas na infraestrutura de empresas de telecomunicações do Sudeste Asiático. O Earth Estries usa esta ferramenta junto com o MASOL RAT (também conhecido como Backdr-NQ), outro backdoor, para atingir sistemas de rede Linux e governamentais. A estratégia do grupo de usar malware personalizado garante uma presença persistente em redes comprometidas, permitindo espionagem cibernética de longo prazo.

Um Alcance Global: Visando VáriosSetores

O Earth Estries fez avanços significativos no comprometimento de uma ampla gama de setores, incluindo telecomunicações, tecnologia, consultoria, transporte, indústrias químicas e organizações governamentais. As operações do grupo abrangem mais de 20 vítimas em mais de uma dúzia de países, incluindo Afeganistão, Brasil, Índia, Indonésia, Malásia, África do Sul, EUA e Vietnã. Essa ampla segmentação ressalta a capacidade e a ambição do grupo, com cerca de 150 vítimas afetadas por suas atividades, particularmente dentro do governo dos EUA e do setor privado.

As Ferramentas do Earth Estries

Entre as muitas ferramentas à disposição do The Earth Estries, o rootkit Demodex e o Deed RAT (também conhecido como SNAPPYBEE) se destacam. Essas ferramentas, junto com outras como Crowdoor e TrillClient, são integrais às operações do grupo. Acredita-se que o ShadowPad, uma família de malware amplamente usada por grupos APT chineses, tenha influenciado o desenvolvimento do Deed RAT, um provável sucessor. Esses backdoors avançados e ladrões de informações permitem que o The Earth Estries permaneça oculto enquanto exfiltra informações confidenciais de seus alvos.

Explorando Vulnerabilidades para o Acesso Inicial

Para obter acesso aos seus alvos, o Earth Estries depende muito de vulnerabilidades N-day, que são falhas em software que foram divulgadas publicamente, mas ainda não corrigidas pelos usuários. Algumas das vulnerabilidades mais comumente exploradas incluem aquelas no Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall e Microsoft Exchange Server. Uma vez que essas vulnerabilidades são exploradas, o Earth Estries implanta seu malware personalizado, incorporando-se ainda mais na rede comprometida para vigilância de longo prazo e coleta de dados.

Um Grupo Complexo e Bem Organizado

O Earth Estries opera com uma abordagem altamente estruturada e organizada. Com base na análise de várias campanhas, parece que diferentes equipes dentro do grupo são responsáveis por atingir regiões e indústrias específicas. A infraestrutura de Comando e Controle (C2) do grupo também é descentralizada, com equipes distintas gerenciando diferentes operações de backdoor. Essa segmentação permite uma série mais complexa e coordenada de ataques em vários setores.

GhostSpider: Um Implante Multimódulo

No centro das operações da Earth Estries está o implante GhostSpider. Esta ferramenta sofisticada se comunica com a infraestrutura controlada pelo invasor por meio de um protocolo personalizado protegido pelo Transport Layer Security (TLS). O implante pode recuperar módulos adicionais conforme necessário, expandindo sua funcionalidade. Sua flexibilidade o torna uma ferramenta poderosa para espionagem cibernética de longo prazo, permitindo que a Earth Estries se adapte e evolua suas operações conforme a situação exigir.

Táticas de Furtividade e Evasão

O Earth Estries emprega uma variedade de técnicas furtivas para evitar a detecção. O grupo inicia seus ataques nos dispositivos de ponta, gradualmente estendendo seu alcance para ambientes de nuvem, dificultando a detecção de sua presença. Ao manter um perfil baixo e se esconder atrás de camadas de infraestrutura, o Earth Estries garante que suas atividades não sejam detectadas por longos períodos, permitindo a coleta ininterrupta de dados.

Empresas de Telecomunicações: Um Alvo Frequente

As empresas de telecomunicações têm sido há muito tempo um alvo principal para grupos de ameaças cibernéticas ligados à China, com os Earth Estries se juntando às fileiras de outros como Granite Typhoon e Liminal Panda. Esses ataques revelam o aumento da maturação do programa cibernético da China, que mudou de ataques únicos para coleta de dados em massa e campanhas sustentadas voltadas para provedores de serviços críticos. O foco dos Earth Estries em Managed Service Providers (MSPs), Internet Service Providers (ISPs) e provedores de plataforma sinaliza uma mudança na estratégia da China para obter acesso contínuo às redes de comunicações globais.

Conclusão: Uma Crescente Ameaça de Espionagem Cibernética

À medida que o Earth Estries continua a expandir suas operações, ele destaca as crescentes capacidades de grupos de espionagem cibernética ligados à China. O uso de malware sofisticado, combinado com um foco em setores de infraestrutura crítica, demonstra uma ameaça bem organizada e em evolução. Para organizações nas regiões afetadas, a necessidade de vigilância intensificada e medidas robustas de segurança cibernética nunca foi tão crítica.