Бекдор GhostSpider

До Mezo року в Розширена постійна загроза (APT), Backdoors, Шкідливе програмне забезпечення році

Перекласти на:

Продумана група кібершпигунства, пов’язана з Китаєм, відома як Earth Estries, націлилася на телекомунікаційні та державні установи в Південно-Східній Азії та за її межами. Група використовувала ряд передових методів для проникнення в критичні галузі, включно з використанням незадокументованого бекдора під назвою GhostSpider. Також було помічено, що цей суб’єкт загрози використовує кілька вразливостей для отримання несанкціонованого доступу до своїх цілей, що свідчить про зростаючу складність кіберможливостей Китаю.

Зміст

GhostSpider: Недокументований бекдор

GhostSpider, новий додаток до арсеналу Earth Estries, використовувався як основний метод проникнення в мережі. Цей бекдор дуже цілеспрямований, спеціально створений для використання слабких місць в інфраструктурі телекомунікаційних компаній Південно-Східної Азії. Earth Estries використовує цей інструмент разом із MASOL RAT (також відомим як Backdr-NQ), іншим бекдором, для націлювання як на Linux, так і на державні мережеві системи. Стратегія групи з використання спеціально створеного шкідливого програмного забезпечення забезпечує постійну присутність у скомпрометованих мережах, уможливлюючи довготривале кібершпигунство.

Глобальне охоплення: орієнтація на кілька секторів

Earth Estries досягла значних успіхів у руйнуванні широкого кола секторів, включаючи телекомунікації, технології, консалтинг, транспорт, хімічну промисловість та урядові організації. Операції групи охоплюють понад 20 жертв у більш ніж десятку країн, включаючи Афганістан, Бразилію, Індію, Індонезію, Малайзію, Південну Африку, США та В'єтнам. Ця широка цільова спрямованість підкреслює спроможність і амбіції угруповання, за оцінками, 150 жертв постраждали від їх діяльності, зокрема в уряді США та приватному секторі.

Знаряддя Землі Естрі

Серед багатьох інструментів у розпорядженні The Earth Estries виділяються руткіт Demodex і Deed RAT (також відомий як SNAPPYBEE). Ці інструменти разом із іншими, такими як Crowdoor і TrillClient, є невід’ємною частиною діяльності групи. Вважається, що ShadowPad, сімейство шкідливих програм, яке широко використовується китайськими групами APT, вплинуло на розробку Deed RAT, ймовірного наступника. Ці просунуті бекдори та викрадачі інформації дозволяють The Earth Estries залишатися прихованими, викрадаючи конфіденційну інформацію від своїх цілей.

Використання вразливостей для початкового доступу

Щоб отримати доступ до своїх цілей, Earth Estries значною мірою покладається на N-денні вразливості, які є недоліками в програмному забезпеченні, які були оприлюднені, але ще не виправлені користувачами. Деякі з найбільш часто використовуваних уразливостей включають уразливості в Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall і Microsoft Exchange Server. Після того, як ці вразливості використовуються, Earth Estries розгортає своє спеціальне шкідливе програмне забезпечення, далі вбудовуючись у скомпрометовану мережу для тривалого спостереження та збору даних.

Складна та добре організована група

Earth Estries працює з дуже структурованим і організованим підходом. На основі аналізу кількох кампаній виявилося, що різні команди всередині групи відповідають за націлювання на певні регіони та галузі. Інфраструктура командування та контролю (C2) групи також децентралізована, з різними командами, які керують різними бекдорами. Ця сегментація дозволяє здійснювати більш складну та скоординовану серію атак у різних секторах.

GhostSpider: багатомодульний імплантат

В основі діяльності Earth Estries лежить імплант GhostSpider. Цей складний інструмент зв’язується з контрольованою зловмисником інфраструктурою за допомогою спеціального протоколу, захищеного технологією Transport Layer Security (TLS). Імплантат може отримувати додаткові модулі за потреби, розширюючи свою функціональність. Його гнучкість робить його потужним інструментом для довгострокового кібершпигунства, що дозволяє Земним Естрі адаптувати та розвивати свої операції відповідно до потреб ситуації.

Тактика скритності та ухилення

Earth Estries використовує різноманітні методи стелс, щоб уникнути виявлення. Група починає свої атаки на периферійних пристроях, поступово розширюючи охоплення в хмарних середовищах, що ускладнює виявлення її присутності. Зберігаючи низький профіль і ховаючись за шарами інфраструктури, Earth Estries гарантує, що його діяльність залишається непоміченою протягом тривалого періоду часу, дозволяючи безперервно збирати дані.

Телекомунікаційні компанії: часта ціль

Телекомунікаційні компанії вже давно є основною мішенню для пов’язаних із Китаєм груп кіберзагроз, а Earth Estries приєдналися до рядів інших, таких як Granite Typhoon і Liminal Panda. Ці атаки свідчать про зростаючу зрілість кіберпрограми Китаю, яка перейшла від одноразових ударів до масового збору даних і постійних кампаній, спрямованих на найважливіших постачальників послуг. Зосередження Earth Estries на постачальниках керованих послуг (MSP), постачальниках послуг Інтернету (ISP) і постачальниках платформ свідчить про зміну стратегії Китаю щодо отримання постійного доступу до глобальних комунікаційних мереж.

Висновок: зростаюча загроза кібершпигунства

Оскільки Earth Estries продовжує розширювати свою діяльність, це підкреслює зростаючі можливості груп кібершпигунства, пов’язаних із Китаєм. Використання складного зловмисного програмного забезпечення в поєднанні з фокусом на критичних секторах інфраструктури демонструє добре організовану загрозу, яка розвивається. Для організацій у постраждалих регіонах потреба в підвищеній пильності та надійних заходах кібербезпеки ніколи не була такою критичною.