GhostSpider Backdoor
Ang isang sopistikadong grupong cyber espionage na nauugnay sa China na kilala bilang Earth Estries ay nagta-target sa mga telekomunikasyon at mga entidad ng pamahalaan sa buong Southeast Asia at higit pa. Gumamit ang grupo ng iba't ibang mga advanced na diskarte upang makalusot sa mga kritikal na industriya, kabilang ang paggamit ng isang hindi dokumentadong backdoor na pinangalanang GhostSpider. Ang banta na aktor na ito ay naobserbahan din na nagsasamantala sa ilang mga kahinaan upang makakuha ng hindi awtorisadong pag-access sa mga target nito, na nagpapakita ng pagtaas ng pagiging sopistikado ng mga cyber na kakayahan ng China.
Talaan ng mga Nilalaman
GhostSpider: Ang Undocumented Backdoor
Ang GhostSpider, isang bagong karagdagan sa arsenal ng Earth Estries, ay ginamit bilang pangunahing paraan upang makalusot sa mga network. Ang backdoor na ito ay lubos na naka-target, partikular na ginawa upang pagsamantalahan ang mga kahinaan sa imprastraktura ng mga kumpanya ng telekomunikasyon sa Southeast Asia. Ginagamit ng Earth Estries ang tool na ito kasama ng MASOL RAT (kilala rin bilang Backdr-NQ), isa pang backdoor, upang i-target ang parehong Linux at mga sistema ng network ng gobyerno. Tinitiyak ng diskarte ng grupo sa paggamit ng custom-made na malware ang patuloy na presensya sa loob ng mga nakompromisong network, na nagbibigay-daan sa pangmatagalang cyber espionage.
Isang Pandaigdigang Abot: Pag-target sa Maramihang Sektor
Ang Earth Estries ay gumawa ng mga makabuluhang hakbang sa pagkompromiso sa malawak na hanay ng mga sektor, kabilang ang telekomunikasyon, teknolohiya, pagkonsulta, transportasyon, industriya ng kemikal, at mga organisasyon ng pamahalaan. Ang mga operasyon ng grupo ay sumasaklaw sa mahigit 20 biktima sa mahigit isang dosenang bansa, kabilang ang Afghanistan, Brazil, India, Indonesia, Malaysia, South Africa, US at Vietnam. Binibigyang-diin ng malawak na pag-target na ito ang kakayahan at ambisyon ng grupo, na may tinatayang 150 biktima na apektado ng kanilang mga aktibidad, partikular sa loob ng gobyerno ng US at pribadong sektor.
Ang Mga Tool ng Earth Estries
Sa maraming mga tool sa pagtatapon ng The Earth Estries, namumukod-tangi ang Demodex rootkit at Deed RAT (kilala rin bilang SNAPPYBEE). Ang mga tool na ito, kasama ang iba pa tulad ng Crowdoor at TrillClient, ay mahalaga sa mga operasyon ng grupo. Ang ShadowPad, isang pamilya ng malware na malawakang ginagamit ng mga Chinese APT group, ay pinaniniwalaang nakaimpluwensya sa pagbuo ng Deed RAT, isang malamang na kahalili. Ang mga advanced na backdoors at information stealers na ito ay nagpapahintulot sa The Earth Estries na manatiling nakatago habang inilalabas ang sensitibong impormasyon mula sa kanilang mga target.
Pagsasamantala sa Mga Kahinaan para sa Paunang Pag-access
Upang makakuha ng access sa mga target nito, lubos na umaasa ang Earth Estries sa mga N-day na kahinaan, na mga depekto sa software na ibinunyag sa publiko ngunit hindi pa nata-patch ng mga user. Ang ilan sa mga pinakakaraniwang pinagsasamantalahang kahinaan ay kinabibilangan ng mga nasa Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall at Microsoft Exchange Server. Kapag napagsamantalahan na ang mga kahinaang ito, ipapatupad ng Earth Estries ang custom na malware nito, lalo pang i-embed ang sarili nito sa nakompromisong network para sa pangmatagalang pagsubaybay at pagkolekta ng data.
Isang Masalimuot at Maayos na Pangkat
Gumagana ang Earth Estries nang may napakaayos at organisadong diskarte. Batay sa pagsusuri ng ilang mga kampanya, lumalabas na ang iba't ibang mga koponan sa loob ng pangkat ay may pananagutan sa pag-target ng mga partikular na rehiyon at industriya. Ang imprastraktura ng Command-and-Control (C2) ng grupo ay desentralisado din, na may natatanging mga koponan na namamahala sa iba't ibang mga operasyon sa backdoor. Nagbibigay-daan ang segmentation na ito para sa mas kumplikado at magkakaugnay na serye ng mga pag-atake sa iba't ibang sektor.
GhostSpider: Isang Multi-Module Implant
Sa gitna ng mga operasyon ng Earth Estries ay ang GhostSpider implant. Nakikipag-ugnayan ang sopistikadong tool na ito sa imprastraktura na kinokontrol ng attacker sa pamamagitan ng custom na protocol na sinigurado ng Transport Layer Security (TLS). Maaaring kunin ng implant ang mga karagdagang module kung kinakailangan, na nagpapalawak ng functionality nito. Ang flexibility nito ay ginagawa itong isang makapangyarihang tool para sa pangmatagalang cyber espionage, na nagpapahintulot sa Earth Estries na iakma at baguhin ang mga operasyon nito ayon sa hinihingi ng sitwasyon.
Stealth at Evasion Tactics
Gumagamit ang Earth Estries ng iba't ibang mga stealth technique upang maiwasan ang pagtukoy. Sinisimulan ng grupo ang mga pag-atake nito sa mga device sa gilid, unti-unting pinalawak ang abot nito sa mga cloud environment, na nagpapahirap sa pagtukoy ng presensya nito. Sa pamamagitan ng pagpapanatili ng mababang profile at pagtatago sa likod ng mga layer ng imprastraktura, tinitiyak ng Earth Estries na ang mga aktibidad nito ay hindi nade-detect sa mahabang panahon, na nagbibigay-daan sa walang patid na pangongolekta ng data.
Mga Kumpanya ng Telekomunikasyon: Isang Madalas na Target
Matagal nang pangunahing target ang mga kumpanya ng telekomunikasyon para sa mga cyber threat group na nauugnay sa China, kasama ang Earth Estries sa hanay ng iba tulad ng Granite Typhoon at Liminal Panda. Ang mga pag-atakeng ito ay nagpapakita ng tumaas na pagkahinog ng cyber program ng China, na lumipat mula sa isang beses na strike tungo sa maramihang pagkolekta ng data at patuloy na mga kampanyang naglalayong sa mga kritikal na service provider. Ang pagtuon ng Earth Estries sa Managed Service Provider (MSPs), Internet Service Provider (ISPs), at platform providers ay nagpapahiwatig ng pagbabago sa diskarte ng China para makakuha ng tuluy-tuloy na access sa mga pandaigdigang network ng komunikasyon.
Konklusyon: Isang Lumalagong Banta sa Cyber Espionage
Habang patuloy na pinapalawak ng Earth Estries ang mga operasyon nito, itinatampok nito ang lumalaking kakayahan ng mga cyber espionage group na nauugnay sa China. Ang paggamit ng sopistikadong malware, na sinamahan ng pagtutok sa mga kritikal na sektor ng imprastraktura, ay nagpapakita ng maayos at umuusbong na banta. Para sa mga organisasyon sa mga apektadong rehiyon, ang pangangailangan para sa mas mataas na pagbabantay at matatag na mga hakbang sa cybersecurity ay hindi kailanman naging mas kritikal.
GhostSpider Backdoor Video
Tip: I- ON ang iyong tunog at panoorin ang video sa Full Screen mode .
