GhostSpider Backdoor

Până în Mezo în Amenințare persistentă avansată (APT), Ușile din spate, Programe malware

Tradu in:

Un grup sofisticat de spionaj cibernetic legat de China, cunoscut sub numele de Earth Estries, vizează telecomunicații și entități guvernamentale din Asia de Sud-Est și nu numai. Grupul a folosit o varietate de tehnici avansate pentru a se infiltra în industriile critice, inclusiv utilizarea unei uși din spate nedocumentate numită GhostSpider. Acest actor de amenințare a fost, de asemenea, observat exploatând mai multe vulnerabilități pentru a obține acces neautorizat la țintele sale, dezvăluind sofisticarea tot mai mare a capacităților cibernetice ale Chinei.

Cuprins

GhostSpider: The Undocumented Backdoor

GhostSpider, o nouă adăugare la arsenalul Earth Estries, a fost folosită ca metodă principală de a se infiltra în rețele. Această ușă din spate este foarte țintită, special creată pentru a exploata punctele slabe din infrastructura firmelor de telecomunicații din Asia de Sud-Est. Earth Estries folosește acest instrument alături de MASOL RAT (cunoscut și ca Backdr-NQ), o altă ușă în spate, pentru a viza atât sistemele Linux, cât și sistemele de rețea guvernamentale. Strategia grupului de a utiliza programe malware personalizate asigură o prezență persistentă în rețelele compromise, permițând spionajul cibernetic pe termen lung.

O acoperire globală: țintirea mai multor sectoare

Earth Estries a făcut progrese semnificative în compromiterea unei game largi de sectoare, inclusiv telecomunicații, tehnologie, consultanță, transporturi, industrii chimice și organizații guvernamentale. Operațiunile grupului cuprind peste 20 de victime în peste o duzină de țări, inclusiv Afganistan, Brazilia, India, Indonezia, Malaezia, Africa de Sud, SUA și Vietnam. Această direcționare amplă subliniază capacitatea și ambiția grupului, cu aproximativ 150 de victime afectate de activitățile lor, în special în cadrul guvernului SUA și al sectorului privat.

Instrumentele Pământului Estries

Printre numeroasele instrumente de care dispune The Earth Estries, se remarcă rootkit-ul Demodex și Deed RAT (cunoscut și ca SNAPPYBEE). Aceste instrumente, împreună cu altele precum Crowdoor și TrillClient, sunt parte integrantă a operațiunilor grupului. ShadowPad, o familie de malware folosită pe scară largă de grupurile chineze APT, se crede că a influențat dezvoltarea Deed RAT, un succesor probabil. Aceste uși din spate avansate și furători de informații permit The Earth Estries să rămână ascunse în timp ce exfiltrează informații sensibile din țintele lor.

Exploatarea vulnerabilităților pentru accesul inițial

Pentru a avea acces la țintele sale, Earth Estries se bazează în mare măsură pe vulnerabilitățile N-day, care sunt defecte ale software-ului care au fost dezvăluite public, dar care nu au fost încă remediate de utilizatori. Unele dintre vulnerabilitățile cele mai des exploatate includ cele din Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall și Microsoft Exchange Server. Odată ce aceste vulnerabilități sunt exploatate, Earth Estries își implementează programele malware personalizate, integrându-se în continuare în rețeaua compromisă pentru supraveghere pe termen lung și colectare de date.

Un grup complex și bine organizat

The Earth Estries operează cu o abordare foarte structurată și organizată. Pe baza analizei mai multor campanii, se pare că diferite echipe din cadrul grupului sunt responsabile de vizarea unor regiuni și industrii specifice. Infrastructura de comandă și control (C2) a grupului este, de asemenea, descentralizată, cu echipe distincte care gestionează diferite operațiuni backdoor. Această segmentare permite o serie mai complexă și mai coordonată de atacuri în diferite sectoare.

GhostSpider: un implant cu mai multe module

În centrul operațiunilor Earth Estries se află implantul GhostSpider. Acest instrument sofisticat comunică cu infrastructura controlată de atacator printr-un protocol personalizat securizat de Transport Layer Security (TLS). Implantul poate prelua module suplimentare după cum este necesar, extinzându-și funcționalitatea. Flexibilitatea sa îl face un instrument puternic pentru spionajul cibernetic pe termen lung, permițând Earth Estries să-și adapteze și să evolueze operațiunile în funcție de situație.

Tactici de ascundere și evaziune

Earth Estries folosește o varietate de tehnici ascunse pentru a evita detectarea. Grupul își începe atacurile la dispozitivele de margine, extinzându-și treptat raza de acțiune în medii cloud, ceea ce face dificilă detectarea prezenței sale. Menținând un profil scăzut și ascunzându-se în spatele straturilor de infrastructură, Earth Estries asigură că activitățile sale nu sunt detectate pentru perioade lungi, permițând colectarea neîntreruptă a datelor.

Companii de telecomunicații: o țintă frecventă

Companiile de telecomunicații au fost mult timp o țintă principală pentru grupurile de amenințări cibernetice legate de China, Earth Estries alăturându-se rândurilor altora, cum ar fi Granite Typhoon și Liminal Panda. Aceste atacuri dezvăluie maturizarea crescută a programului cibernetic al Chinei, care a trecut de la lovituri unice la colectarea de date în masă și campanii susținute care vizează furnizorii de servicii critici. Accentul acordat de Earth Estries pe furnizorii de servicii gestionate (MSP), furnizorii de servicii de internet (ISP) și furnizorii de platforme semnalează o schimbare în strategia Chinei de a obține acces continuu la rețelele de comunicații globale.

Concluzie: o amenințare în creștere de spionaj cibernetic

Pe măsură ce Earth Estries continuă să-și extindă operațiunile, evidențiază capacitățile tot mai mari ale grupurilor de spionaj cibernetic legate de China. Utilizarea malware-ului sofisticat, combinată cu accent pe sectoarele de infrastructură critică, demonstrează o amenințare bine organizată și în evoluție. Pentru organizațiile din regiunile afectate, nevoia de vigilență sporită și măsuri solide de securitate cibernetică nu a fost niciodată mai critică.