Бэкдор GhostSpider

К Mezo году в Расширенная постоянная угроза (APT), Бэкдоры, Вредоносное ПО году

Перевести на:

Связанная с Китаем сложная кибершпионская группа, известная как Earth Estries, нацелилась на телекоммуникационные и правительственные организации по всей Юго-Восточной Азии и за ее пределами. Группа использовала множество передовых методов для проникновения в критически важные отрасли, включая использование незадокументированного бэкдора GhostSpider. Этот субъект угроз также был замечен в использовании нескольких уязвимостей для получения несанкционированного доступа к своим целям, что раскрывает растущую сложность кибервозможностей Китая.

Оглавление

GhostSpider: Недокументированный бэкдор

GhostSpider, новое дополнение к арсеналу Earth Estries, использовалось в качестве основного метода проникновения в сети. Этот бэкдор имеет высокую целевую направленность и специально создан для использования слабых мест в инфраструктуре телекоммуникационных компаний Юго-Восточной Азии. Earth Estries использует этот инструмент вместе с MASOL RAT (также известным как Backdr-NQ), другим бэкдором, для атаки как на Linux, так и на правительственные сетевые системы. Стратегия группы по использованию заказного вредоносного ПО обеспечивает постоянное присутствие в скомпрометированных сетях, что позволяет осуществлять долгосрочный кибершпионаж.

Глобальный охват: ориентация на несколько секторов

Earth Estries добилась значительных успехов в компрометации широкого спектра секторов, включая телекоммуникации, технологии, консалтинг, транспорт, химическую промышленность и правительственные организации. Операции группы охватывают более 20 жертв в более чем дюжине стран, включая Афганистан, Бразилию, Индию, Индонезию, Малайзию, Южную Африку, США и Вьетнам. Такое широкое нацеливание подчеркивает возможности и амбиции группы, по оценкам, от ее деятельности пострадало около 150 жертв, особенно в правительстве США и частном секторе.

Инструменты Земли Эстрис

Среди множества инструментов, имеющихся в распоряжении The Earth Estries, выделяются руткит Demodex и Deed RAT (также известный как SNAPPYBEE). Эти инструменты, наряду с другими, такими как Crowdoor и TrillClient, являются неотъемлемой частью деятельности группы. ShadowPad, семейство вредоносных программ, широко используемое китайскими APT-группами, как полагают, повлияло на разработку Deed RAT, вероятного преемника. Эти продвинутые бэкдоры и похитители информации позволяют The Earth Estries оставаться скрытыми, извлекая конфиденциальную информацию из своих целей.

Использование уязвимостей для первоначального доступа

Чтобы получить доступ к своим целям, Earth Estries в значительной степени полагается на уязвимости N-day, которые являются недостатками программного обеспечения, которые были публично раскрыты, но еще не исправлены пользователями. Некоторые из наиболее часто используемых уязвимостей включают уязвимости в Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall и Microsoft Exchange Server. После того, как эти уязвимости будут использованы, Earth Estries развертывает свое собственное вредоносное ПО, еще больше внедряясь в скомпрометированную сеть для долгосрочного наблюдения и сбора данных.

Сложная и хорошо организованная группа

Earth Estries работает с высокоструктурированным и организованным подходом. На основе анализа нескольких кампаний, похоже, что разные команды внутри группы отвечают за нацеливание на определенные регионы и отрасли. Инфраструктура Command-and-Control (C2) группы также децентрализована, с разными командами, управляющими различными бэкдор-операциями. Такая сегментация позволяет проводить более сложную и скоординированную серию атак в различных секторах.

GhostSpider: многомодульный имплантат

В основе операций Earth Estries лежит имплант GhostSpider. Этот сложный инструмент взаимодействует с контролируемой злоумышленником инфраструктурой через специальный протокол, защищенный Transport Layer Security (TLS). Имплант может извлекать дополнительные модули по мере необходимости, расширяя свою функциональность. Его гибкость делает его мощным инструментом для долгосрочного кибершпионажа, позволяя Earth Estries адаптироваться и развивать свои операции в зависимости от ситуации.

Тактика скрытности и уклонения

Earth Estries использует различные методы скрытности, чтобы избежать обнаружения. Группа начинает свои атаки с периферийных устройств, постепенно расширяя свое влияние в облачных средах, что затрудняет обнаружение ее присутствия. Поддерживая сдержанность и скрываясь за слоями инфраструктуры, Earth Estries гарантирует, что ее деятельность остается незамеченной в течение длительного времени, что позволяет осуществлять непрерывный сбор данных.

Телекоммуникационные компании: частая цель

Телекоммуникационные компании уже давно являются главной целью для связанных с Китаем киберугроз, и Earth Estries присоединились к другим, таким как Granite Typhoon и Liminal Panda. Эти атаки показывают возросшую зрелость китайской киберпрограммы, которая перешла от разовых ударов к массовому сбору данных и непрерывным кампаниям, нацеленным на поставщиков критически важных услуг. Фокус Earth Estries на поставщиках управляемых услуг (MSP), поставщиках интернет-услуг (ISP) и поставщиках платформ сигнализирует об изменении стратегии Китая по получению постоянного доступа к глобальным сетям связи.

Заключение: Растущая угроза кибершпионажа

По мере того, как Earth Estries продолжает расширять свою деятельность, она подчеркивает растущие возможности групп кибершпионажа, связанных с Китаем. Использование сложного вредоносного ПО в сочетании с фокусом на критически важных секторах инфраструктуры демонстрирует хорошо организованную и развивающуюся угрозу. Для организаций в затронутых регионах потребность в повышенной бдительности и надежных мерах кибербезопасности никогда не была более критической.