GhostSpider bakdörr

Med Mezo år Advanced Persistent Threat (APT), Bakdörrar, Skadlig programvara

Översätt till:

En sofistikerad Kina-kopplad cyberspionagegrupp känd som Earth Estries har riktat in sig på telekommunikationer och statliga enheter över hela Sydostasien och utanför. Gruppen har använt en mängd avancerade tekniker för att infiltrera kritiska industrier, inklusive att använda en odokumenterad bakdörr som heter GhostSpider. Denna hotaktör har också observerats utnyttja flera sårbarheter för att få obehörig åtkomst till sina mål, vilket avslöjar den ökande sofistikeringen av Kinas cyberkapacitet.

Innehållsförteckning

GhostSpider: The Undocumented Backdoor

GhostSpider, ett nytt tillskott till Earth Estries arsenal, har använts som en primär metod för att infiltrera nätverk. Denna bakdörr är mycket målinriktad, speciellt utformad för att utnyttja svagheter i infrastrukturen hos sydostasiatiska telekommunikationsföretag. Earth Estries använder detta verktyg tillsammans med MASOL RAT (även känd som Backdr-NQ), en annan bakdörr, för att rikta in sig på både Linux och statliga nätverkssystem. Gruppens strategi att använda skräddarsydd skadlig programvara säkerställer en ihållande närvaro i komprometterade nätverk, vilket möjliggör långsiktigt cyberspionage.

En global räckvidd: Inriktning på flera sektorer

Earth Estries har gjort betydande framsteg när det gäller att kompromissa med ett brett spektrum av sektorer, inklusive telekommunikation, teknik, konsultverksamhet, transport, kemisk industri och statliga organisationer. Gruppens verksamhet sträcker sig över 20 offer i mer än ett dussin länder, inklusive Afghanistan, Brasilien, Indien, Indonesien, Malaysia, Sydafrika, USA och Vietnam. Denna breda inriktning understryker gruppens förmåga och ambition, med uppskattningsvis 150 offer som påverkas av deras aktiviteter, särskilt inom den amerikanska regeringen och den privata sektorn.

Jordens verktyg Estries

Bland de många verktyg som The Earth Estries förfogar över sticker Demodex rootkit och Deed RAT (även känd som SNAPPYBEE) ut. Dessa verktyg, tillsammans med andra som Crowdoor och TrillClient, är integrerade i gruppens verksamhet. ShadowPad, en skadlig programvara som ofta används av kinesiska APT-grupper, tros ha påverkat utvecklingen av Deed RAT, en trolig efterföljare. Dessa avancerade bakdörrar och informationsstöldare tillåter The Earth Estries att förbli dolda medan de exfiltrerar känslig information från sina mål.

Utnyttja sårbarheter för initial åtkomst

För att få tillgång till sina mål förlitar sig Earth Estries starkt på N-dagars sårbarheter, som är brister i programvara som har avslöjats offentligt men som ännu inte har åtgärdats av användare. Några av de mest utnyttjade sårbarheterna inkluderar de i Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall och Microsoft Exchange Server. När dessa sårbarheter väl har utnyttjats, distribuerar Earth Estries sin skräddarsydda skadliga programvara och bäddar in sig ytterligare i det komprometterade nätverket för långsiktig övervakning och datainsamling.

En komplex och välorganiserad grupp

Earth Estries arbetar med ett mycket strukturerat och organiserat tillvägagångssätt. Baserat på analysen av flera kampanjer framgår det att olika team inom gruppen är ansvariga för att rikta in sig på specifika regioner och branscher. Gruppens Command-and-Control (C2)-infrastruktur är också decentraliserad, med distinkta team som hanterar olika bakdörrsoperationer. Denna segmentering möjliggör en mer komplex och samordnad serie av attacker över olika sektorer.

GhostSpider: A Multi-Module Implant

I hjärtat av Earth Estries verksamhet är GhostSpider-implantatet. Detta sofistikerade verktyg kommunicerar med angriparkontrollerad infrastruktur genom ett anpassat protokoll säkrat av Transport Layer Security (TLS). Implantatet kan hämta ytterligare moduler efter behov, vilket utökar dess funktionalitet. Dess flexibilitet gör det till ett kraftfullt verktyg för långsiktigt cyberspionage, vilket gör att Earth Estries kan anpassa sig och utveckla sin verksamhet allteftersom situationen kräver.

Stealth and Evasion Taktics

Earth Estries använder en mängd olika stealth-tekniker för att undvika upptäckt. Gruppen startar sina attacker på kantenheterna och utökar gradvis sin räckvidd till molnmiljöer, vilket gör det svårt att upptäcka dess närvaro. Genom att hålla en låg profil och gömma sig bakom lager av infrastruktur säkerställer Earth Estries att dess aktiviteter förblir oupptäckta under längre perioder, vilket möjliggör oavbruten datainsamling.

Telekommunikationsföretag: Ett vanligt mål

Telekommunikationsföretag har länge varit ett främsta mål för Kina-kopplade cyberhotgrupper, med Earth Estries som sällar sig till raden av andra som Granite Typhoon och Liminal Panda. Dessa attacker avslöjar den ökade mognaden av Kinas cyberprogram, som har skiftat från engångstrejker till bulkdatainsamling och ihållande kampanjer riktade mot kritiska tjänsteleverantörer. Earth Estries fokus på Managed Service Providers (MSP), Internet Service Providers (ISP) och plattformsleverantörer signalerar en förändring i Kinas strategi att få kontinuerlig tillgång till globala kommunikationsnätverk.

Slutsats: Ett växande hot om cyberspionage

När Earth Estries fortsätter att expandera sin verksamhet, lyfter den fram den växande kapaciteten hos Kina-kopplade cyberspionagegrupper. Användningen av sofistikerad skadlig programvara, i kombination med fokus på kritiska infrastruktursektorer, visar på ett välorganiserat och utvecklande hot. För organisationer i de drabbade regionerna har behovet av ökad vaksamhet och robusta cybersäkerhetsåtgärder aldrig varit mer kritiskt.