GhostSpider Backdoor
Një grup i sofistikuar i spiunazhit kibernetik i lidhur me Kinën i njohur si Earth Estries ka synuar telekomunikacionin dhe entitetet qeveritare në të gjithë Azinë Juglindore dhe më gjerë. Grupi ka përdorur një sërë teknikash të avancuara për të depërtuar në industri kritike, duke përfshirë përdorimin e një dere të pasme të padokumentuar të quajtur GhostSpider. Ky aktor i kërcënimit është vërejtur gjithashtu duke shfrytëzuar disa dobësi për të fituar akses të paautorizuar në objektivat e tij, duke zbuluar sofistikimin në rritje të aftësive kibernetike të Kinës.
Tabela e Përmbajtjes
GhostSpider: The Backdoor pa dokumente
GhostSpider, një shtesë e re në arsenalin e Earth Estries, është përdorur si një metodë kryesore për të depërtuar në rrjete. Kjo derë e pasme është shumë e synuar, e krijuar posaçërisht për të shfrytëzuar dobësitë në infrastrukturën e firmave të telekomunikacionit të Azisë Juglindore. Earth Estries përdor këtë mjet së bashku me MASOL RAT (i njohur gjithashtu si Backdr-NQ), një tjetër porta e pasme, për të synuar si Linux ashtu edhe sistemet e rrjetit qeveritar. Strategjia e grupit për përdorimin e malware të krijuar me porosi siguron një prani të vazhdueshme brenda rrjeteve të komprometuara, duke mundësuar spiunazh kibernetik afatgjatë.
Një shtrirje globale: Synimi i sektorëve të shumtë
Earth Estries ka bërë përparime të rëndësishme në kompromentimin e një game të gjerë sektorësh, duke përfshirë telekomunikacionin, teknologjinë, konsulencën, transportin, industritë kimike dhe organizatat qeveritare. Operacionet e grupit përfshijnë mbi 20 viktima në më shumë se një duzinë vendesh, duke përfshirë Afganistanin, Brazilin, Indinë, Indonezinë, Malajzinë, Afrikën e Jugut, SHBA-në dhe Vietnamin. Ky synim i gjerë nënvizon aftësinë dhe ambicien e grupit, me rreth 150 viktima të prekura nga aktivitetet e tyre, veçanërisht brenda qeverisë së SHBA dhe sektorit privat.
The Tools of the Earth Estries
Ndër mjetet e shumta në dispozicion të The Earth Estries, dallohen rootkit Demodex dhe Deed RAT (i njohur edhe si SNAPPYBEE). Këto mjete, së bashku me të tjera si Crowdoor dhe TrillClient, janë pjesë përbërëse e operacioneve të grupit. ShadowPad, një familje malware e përdorur gjerësisht nga grupet kineze APT, besohet se ka ndikuar në zhvillimin e Deed RAT, një pasardhës i mundshëm. Këto dyer të përparuara dhe vjedhës informacioni lejojnë që The Earth Estries të qëndrojnë të fshehura ndërsa nxjerrin informacione të ndjeshme nga objektivat e tyre.
Shfrytëzimi i dobësive për hyrjen fillestare
Për të fituar akses në objektivat e tij, Earth Estries mbështetet shumë në dobësitë e ditës N, të cilat janë të meta në softuer që janë zbuluar publikisht, por ende nuk janë rregulluar nga përdoruesit. Disa nga dobësitë më të shfrytëzuara përfshijnë ato në Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall dhe Microsoft Exchange Server. Pasi këto dobësi të shfrytëzohen, Earth Estries vendos malware-in e tij të personalizuar, duke u futur më tej në rrjetin e komprometuar për mbikëqyrje afatgjatë dhe mbledhje të të dhënave.
Një grup kompleks dhe i mirëorganizuar
Earth Estries operon me një qasje shumë të strukturuar dhe të organizuar. Bazuar në analizën e disa fushatave, duket se ekipe të ndryshme brenda grupit janë përgjegjëse për të synuar rajone dhe industri të veçanta. Infrastruktura Komanda dhe Kontrolli (C2) e grupit është gjithashtu e decentralizuar, me ekipe të veçanta që menaxhojnë operacione të ndryshme në prapavijë. Ky segmentim lejon një seri sulmesh më komplekse dhe të koordinuara nëpër sektorë të ndryshëm.
GhostSpider: Një implant me shumë module
Në zemër të operacioneve të Earth Estries është implanti GhostSpider. Ky mjet i sofistikuar komunikon me infrastrukturën e kontrolluar nga sulmuesi përmes një protokolli personal të siguruar nga Transporti Layer Security (TLS). Implanti mund të marrë module shtesë sipas nevojës, duke zgjeruar funksionalitetin e tij. Fleksibiliteti i tij e bën atë një mjet të fuqishëm për spiunazhin kibernetik afatgjatë, duke i lejuar Earth Estries të përshtatet dhe të evoluojë operacionet e tij sipas nevojës së situatës.
Taktikat e vjedhjes dhe evazionit
Earth Estries përdor një sërë teknikash të fshehta për të shmangur zbulimin. Grupi fillon sulmet e tij në pajisjet e skajshme, duke zgjeruar gradualisht shtrirjen e tij në mjediset cloud, duke e bërë të vështirë zbulimin e pranisë së tij. Duke mbajtur një profil të ulët dhe duke u fshehur pas shtresave të infrastrukturës, Earth Estries siguron që aktivitetet e tij të mos zbulohen për periudha të gjata, duke lejuar mbledhjen e pandërprerë të të dhënave.
Kompanitë e Telekomunikacionit: Një objektiv i shpeshtë
Kompanitë e telekomunikacionit kanë qenë prej kohësh një objektiv kryesor për grupet e kërcënimeve kibernetike të lidhura me Kinën, me Earth Estries duke u bashkuar me radhët e të tjerëve si Granite Typhoon dhe Liminal Panda. Këto sulme zbulojnë pjekurinë në rritje të programit kibernetik të Kinës, i cili është zhvendosur nga sulmet e njëhershme në mbledhjen e të dhënave në masë dhe fushatat e qëndrueshme që synojnë ofruesit e shërbimeve kritike. Fokusi i Earth Estries te Ofruesit e Shërbimeve të Menaxhuara (MSP), Ofruesit e Shërbimeve të Internetit (ISP) dhe ofruesit e platformave sinjalizon një ndryshim në strategjinë e Kinës për të fituar akses të vazhdueshëm në rrjetet globale të komunikimit.
Përfundim: Një kërcënim në rritje nga spiunazhi kibernetik
Ndërsa Earth Estries vazhdon të zgjerojë operacionet e saj, ajo nxjerr në pah aftësitë në rritje të grupeve të spiunazhit kibernetik të lidhur me Kinën. Përdorimi i malware i sofistikuar, i kombinuar me fokusin në sektorët kritikë të infrastrukturës, demonstron një kërcënim të mirëorganizuar dhe në zhvillim. Për organizatat në rajonet e prekura, nevoja për vigjilencë të shtuar dhe masa të fuqishme të sigurisë kibernetike nuk ka qenë kurrë më kritike.
GhostSpider Backdoor Video
Këshillë: Kthejeni tingullin tuaj dhe të shikojnë video në mënyrë të plotë ekran.
