GhostSpider Arka Kapısı

Mezo'de Gelişmiş Sürekli Tehdit (APT), Arka kapılar, Kötü amaçlı yazılım'de

Çevir:

Earth Estries olarak bilinen, Çin bağlantılı gelişmiş bir siber casusluk grubu, Güneydoğu Asya ve ötesindeki telekomünikasyon ve hükümet kuruluşlarını hedef alıyor. Grup, GhostSpider adlı belgelenmemiş bir arka kapı kullanmak da dahil olmak üzere kritik endüstrilere sızmak için çeşitli gelişmiş teknikler kullandı. Bu tehdit aktörü ayrıca hedeflerine yetkisiz erişim sağlamak için çeşitli güvenlik açıklarını istismar ederken gözlemlendi ve bu da Çin'in siber yeteneklerinin giderek daha karmaşık hale geldiğini ortaya koydu.

İçindekiler

GhostSpider: Belgelenmemiş Arka Kapı

Earth Estries'in cephaneliğine yeni eklenen GhostSpider, ağlara sızmak için birincil yöntem olarak kullanıldı. Bu arka kapı, Güneydoğu Asya telekomünikasyon şirketlerinin altyapısındaki zayıflıkları istismar etmek için özel olarak tasarlanmış, oldukça hedefli. Earth Estries, bu aracı, hem Linux hem de hükümet ağ sistemlerini hedeflemek için başka bir arka kapı olan MASOL RAT (Backdr-NQ olarak da bilinir) ile birlikte kullanıyor. Grubun özel yapım kötü amaçlı yazılım kullanma stratejisi, tehlikeye atılmış ağlarda kalıcı bir varlık sağlayarak uzun vadeli siber casusluğa olanak sağlıyor.

Küresel Bir Erişim: Birden Fazla Sektörü Hedefleme

Earth Estries, telekomünikasyon, teknoloji, danışmanlık, ulaşım, kimya endüstrileri ve hükümet kuruluşları da dahil olmak üzere çok çeşitli sektörleri tehlikeye atmada önemli adımlar attı. Grubun operasyonları, Afganistan, Brezilya, Hindistan, Endonezya, Malezya, Güney Afrika, ABD ve Vietnam dahil olmak üzere bir düzineden fazla ülkede 20'den fazla kurbanı kapsıyor. Bu geniş hedefleme, grubun kapasitesini ve hırsını vurguluyor ve özellikle ABD hükümeti ve özel sektör içinde faaliyetlerinden etkilenen tahmini 150 kurban var.

Dünya'nın Araçları Estries

The Earth Estries'in emrindeki birçok araç arasında Demodex rootkit ve Deed RAT (SNAPPYBEE olarak da bilinir) öne çıkıyor. Bu araçlar, Crowdoor ve TrillClient gibi diğerleriyle birlikte grubun operasyonlarının ayrılmaz bir parçasıdır. Çinli APT grupları tarafından yaygın olarak kullanılan bir kötü amaçlı yazılım ailesi olan ShadowPad'in, muhtemel bir halefi olan Deed RAT'ın geliştirilmesini etkilediğine inanılıyor. Bu gelişmiş arka kapılar ve bilgi hırsızları, The Earth Estries'in hedeflerinden hassas bilgileri sızdırırken gizli kalmasını sağlıyor.

İlk Erişim İçin Güvenlik Açıklarından Yararlanma

Hedeflerine erişmek için Earth Estries, kamuya açıklanmış ancak kullanıcılar tarafından henüz yamalanmamış yazılım kusurları olan N günlük güvenlik açıklarına büyük ölçüde güvenir. En sık istismar edilen güvenlik açıklarından bazıları Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall ve Microsoft Exchange Server'dakilerdir. Bu güvenlik açıkları istismar edildikten sonra Earth Estries, özel kötü amaçlı yazılımını dağıtır ve uzun vadeli gözetim ve veri toplama için kendisini tehlikeye atılmış ağa daha da yerleştirir.

Karmaşık ve İyi Organize Edilmiş Bir Grup

Earth Estries, oldukça yapılandırılmış ve organize bir yaklaşımla çalışır. Birkaç kampanyanın analizine dayanarak, grup içindeki farklı ekiplerin belirli bölgeleri ve endüstrileri hedeflemekten sorumlu olduğu anlaşılıyor. Grubun Komuta ve Kontrol (C2) altyapısı da merkezi olmayan bir yapıdadır ve farklı ekipler farklı arka kapı operasyonlarını yönetir. Bu segmentasyon, çeşitli sektörlerde daha karmaşık ve koordineli bir dizi saldırıya olanak tanır.

GhostSpider: Çok Modüllü Bir İmplant

Earth Estries'in operasyonlarının kalbinde GhostSpider implantı yer alır. Bu gelişmiş araç, Transport Layer Security (TLS) tarafından güvence altına alınan özel bir protokol aracılığıyla saldırgan tarafından kontrol edilen altyapıyla iletişim kurar. İmplant, ihtiyaç duyulduğunda ek modülleri alabilir ve işlevselliğini genişletebilir. Esnekliği, onu uzun vadeli siber casusluk için güçlü bir araç haline getirir ve Earth Estries'in operasyonlarını duruma göre uyarlamasına ve geliştirmesine olanak tanır.

Gizlilik ve Kaçınma Taktikleri

Earth Estries, tespit edilmekten kaçınmak için çeşitli gizli teknikler kullanır. Grup, saldırılarına uç cihazlardan başlar ve giderek erişimini bulut ortamlarına doğru genişletir ve varlığını tespit etmeyi zorlaştırır. Düşük bir profil sürdürerek ve altyapı katmanlarının arkasına saklanarak, Earth Estries faaliyetlerinin uzun süreler boyunca tespit edilmemesini sağlar ve kesintisiz veri toplanmasına olanak tanır.

Telekomünikasyon Şirketleri: Sık Hedef

Telekomünikasyon şirketleri uzun zamandır Çin bağlantılı siber tehdit grupları için birincil hedef olmuştur ve Earth Estries, Granite Typhoon ve Liminal Panda gibi diğerlerinin saflarına katılmıştır. Bu saldırılar, Çin'in siber programının tek seferlik saldırılardan toplu veri toplamaya ve kritik hizmet sağlayıcılarını hedefleyen sürdürülebilir kampanyalara doğru kaydığını ortaya koymaktadır. Earth Estries'in Yönetilen Hizmet Sağlayıcıları (MSP'ler), İnternet Hizmet Sağlayıcıları (İSS'ler) ve platform sağlayıcılarına odaklanması, Çin'in küresel iletişim ağlarına sürekli erişim sağlama stratejisinde bir değişime işaret etmektedir.

Sonuç: Büyüyen Bir Siber Casusluk Tehdidi

Earth Estries operasyonlarını genişletmeye devam ederken, Çin bağlantılı siber casusluk gruplarının büyüyen yeteneklerini vurguluyor. Kritik altyapı sektörlerine odaklanma ile birleşen sofistike kötü amaçlı yazılımların kullanımı, iyi organize edilmiş ve gelişen bir tehdit olduğunu gösteriyor. Etkilenen bölgelerdeki kuruluşlar için, daha fazla dikkat ve sağlam siber güvenlik önlemlerine duyulan ihtiyaç hiç bu kadar kritik olmamıştı.