Zadnja vrata GhostSpider

Do leta Mezo leta Napredna trajna grožnja (APT), Zadnja vrata, Zlonamerna programska oprema

Prevedi v:

Prefinjena skupina za kibernetsko vohunjenje, povezana s Kitajsko, znana kot Earth Estries, cilja na telekomunikacije in vladne subjekte v jugovzhodni Aziji in drugod. Skupina je uporabila vrsto naprednih tehnik za infiltracijo v kritične industrije, vključno z uporabo nedokumentiranih stranskih vrat z imenom GhostSpider. Opazili so tudi, kako ta akter grožnje izkorišča več ranljivosti za pridobitev nepooblaščenega dostopa do svojih ciljev, kar razkriva vse večjo sofisticiranost kitajskih kibernetskih zmogljivosti.

Kazalo

GhostSpider: Nedokumentirana stranska vrata

GhostSpider, nov dodatek k arzenalu Earth Estries, je bil uporabljen kot primarna metoda za infiltracijo v omrežja. Ta stranska vrata so zelo ciljno usmerjena, posebej oblikovana za izkoriščanje slabosti v infrastrukturi telekomunikacijskih podjetij jugovzhodne Azije. Earth Estries uporablja to orodje skupaj z MASOL RAT (znanim tudi kot Backdr-NQ), še enim zadnjim vratom, za ciljanje na Linux in vladne omrežne sisteme. Strategija skupine za uporabo po meri izdelane zlonamerne programske opreme zagotavlja trajno prisotnost v ogroženih omrežjih, kar omogoča dolgoročno kibernetsko vohunjenje.

Globalni doseg: ciljanje na več sektorjev

Earth Estries je naredil pomembne korake pri ogrožanju številnih sektorjev, vključno s telekomunikacijami, tehnologijo, svetovanjem, transportom, kemično industrijo in vladnimi organizacijami. Operacije skupine zajemajo več kot 20 žrtev v več kot ducatih državah, vključno z Afganistanom, Brazilijo, Indijo, Indonezijo, Malezijo, Južno Afriko, ZDA in Vietnamom. Ta široka ciljna usmerjenost poudarja zmogljivost in ambicioznost skupine, pri čemer je ocenjenih 150 žrtev, ki so jih prizadele njihove dejavnosti, zlasti v vladi ZDA in zasebnem sektorju.

Orodja Zemlje Estries

Med številnimi orodji, ki jih ima The Earth Estries na voljo, izstopata rootkit Demodex in Deed RAT (znan tudi kot SNAPPYBEE). Ta orodja, skupaj z drugimi, kot sta Crowdoor in TrillClient, so sestavni del delovanja skupine. ShadowPad, družina zlonamerne programske opreme, ki jo pogosto uporabljajo kitajske skupine APT, naj bi vplivala na razvoj Deed RAT, verjetnega naslednika. Ta napredna zakulisna vrata in krajci informacij omogočajo The Earth Estries, da ostanejo skriti, medtem ko svojim tarčam odvzamejo občutljive podatke.

Izkoriščanje ranljivosti za začetni dostop

Za pridobitev dostopa do svojih ciljev se Earth Estries močno zanaša na N-dnevne ranljivosti, ki so pomanjkljivosti v programski opremi, ki so bile javno razkrite, vendar jih uporabniki še niso popravili. Nekatere najpogosteje izkoriščane ranljivosti vključujejo tiste v Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall in Microsoft Exchange Server. Ko so te ranljivosti izkoriščene, Earth Estries namesti svojo prilagojeno zlonamerno programsko opremo in se dodatno vgradi v ogroženo omrežje za dolgoročni nadzor in zbiranje podatkov.

Kompleksna in dobro organizirana skupina

Earth Estries deluje z visoko strukturiranim in organiziranim pristopom. Na podlagi analize več kampanj se zdi, da so različne ekipe znotraj skupine odgovorne za ciljanje na določene regije in panoge. Infrastruktura skupine za vodenje in nadzor (C2) je prav tako decentralizirana, z različnimi ekipami, ki upravljajo različne operacije zakulisja. Ta segmentacija omogoča bolj zapleteno in usklajeno serijo napadov v različnih sektorjih.

GhostSpider: Večmodulni vsadek

V središču delovanja Earth Estries je vsadek GhostSpider. To sofisticirano orodje komunicira z infrastrukturo, ki jo nadzoruje napadalec, prek protokola po meri, zaščitenega z varnostjo transportne plasti (TLS). Implantat lahko po potrebi pridobi dodatne module in s tem razširi svojo funkcionalnost. Zaradi svoje prilagodljivosti je močno orodje za dolgoročno kibernetsko vohunjenje, ki omogoča Zemljinim Estriesom, da prilagajajo in razvijajo svoje delovanje, kot to zahteva situacija.

Taktike prikrivanja in izogibanja

Earth Estries uporablja različne prikrite tehnike, da bi se izognili odkrivanju. Skupina začne svoje napade na robnih napravah in postopoma razširi svoj doseg v okolja v oblaku, zaradi česar je težko zaznati njeno prisotnost. Z ohranjanjem nizkega profila in skrivanjem za plastmi infrastrukture Earth Estries zagotavlja, da njegove dejavnosti ostanejo neodkrite dalj časa, kar omogoča nemoteno zbiranje podatkov.

Telekomunikacijska podjetja: pogosta tarča

Telekomunikacijska podjetja so že dolgo glavna tarča skupin kibernetskih groženj, povezanih s Kitajsko, pri čemer so se Earth Estries pridružile vrstam drugih, kot sta Granite Typhoon in Liminal Panda. Ti napadi razkrivajo povečano dozorevanje kitajskega kibernetskega programa, ki se je preusmeril od enkratnih napadov k množičnemu zbiranju podatkov in trajnim kampanjam, namenjenim kritičnim ponudnikom storitev. Osredotočenost Earth Estries na ponudnike upravljanih storitev (MSP), ponudnike internetnih storitev (ISP) in ponudnike platform nakazuje premik v strategiji Kitajske za pridobitev stalnega dostopa do globalnih komunikacijskih omrežij.

Zaključek: naraščajoča grožnja kibernetskega vohunjenja

Ker Earth Estries še naprej širi svoje operacije, poudarja vse večje zmogljivosti skupin za kibernetsko vohunjenje, povezanih s Kitajsko. Uporaba sofisticirane zlonamerne programske opreme v kombinaciji s poudarkom na sektorjih kritične infrastrukture kaže na dobro organizirano in razvijajočo se grožnjo. Za organizacije v prizadetih regijah potreba po povečani pazljivosti in robustnih ukrepih kibernetske varnosti še nikoli ni bila tako kritična.