Cửa sau GhostSpider

Đến năm Mezo năm Mối đe dọa dai dẳng nâng cao (APT), Cửa sau, Phần mềm độc hại

Dịch sang:

Một nhóm gián điệp mạng tinh vi có liên hệ với Trung Quốc được gọi là Earth Estries đã nhắm mục tiêu vào các tổ chức viễn thông và chính phủ trên khắp Đông Nam Á và xa hơn nữa. Nhóm này đã sử dụng nhiều kỹ thuật tiên tiến để xâm nhập vào các ngành công nghiệp quan trọng, bao gồm cả việc sử dụng một cửa hậu không có giấy tờ có tên là GhostSpider. Kẻ đe dọa này cũng đã được phát hiện khai thác một số lỗ hổng để truy cập trái phép vào mục tiêu của mình, cho thấy khả năng mạng ngày càng tinh vi của Trung Quốc.

Mục lục

GhostSpider: Cửa sau không có giấy tờ

GhostSpider, một thành viên mới trong kho vũ khí của Earth Estries, đã được sử dụng như một phương pháp chính để xâm nhập vào các mạng. Cửa hậu này được nhắm mục tiêu cao, được thiết kế đặc biệt để khai thác điểm yếu trong cơ sở hạ tầng của các công ty viễn thông Đông Nam Á. Earth Estries sử dụng công cụ này cùng với MASOL RAT (còn được gọi là Backdr-NQ), một cửa hậu khác, để nhắm mục tiêu vào cả hệ thống mạng Linux và chính phủ. Chiến lược sử dụng phần mềm độc hại tùy chỉnh của nhóm đảm bảo sự hiện diện liên tục trong các mạng bị xâm phạm, cho phép hoạt động gián điệp mạng lâu dài.

Tầm với toàn cầu: Nhắm mục tiêu vào nhiều lĩnh vực

Earth Estries đã có những bước tiến đáng kể trong việc xâm phạm nhiều lĩnh vực, bao gồm viễn thông, công nghệ, tư vấn, vận tải, công nghiệp hóa chất và các tổ chức chính phủ. Hoạt động của nhóm này bao gồm hơn 20 nạn nhân ở hơn một chục quốc gia, bao gồm Afghanistan, Brazil, Ấn Độ, Indonesia, Malaysia, Nam Phi, Hoa Kỳ và Việt Nam. Việc nhắm mục tiêu rộng rãi này nhấn mạnh năng lực và tham vọng của nhóm, với ước tính 150 nạn nhân bị ảnh hưởng bởi các hoạt động của họ, đặc biệt là trong chính phủ Hoa Kỳ và khu vực tư nhân.

Các công cụ của Trái Đất Estries

Trong số nhiều công cụ mà The Earth Estries có, rootkit Demodex và Deed RAT (còn được gọi là SNAPPYBEE) nổi bật hơn cả. Những công cụ này, cùng với những công cụ khác như Crowdoor và TrillClient, là một phần không thể thiếu trong hoạt động của nhóm. ShadowPad, một họ phần mềm độc hại được các nhóm APT Trung Quốc sử dụng rộng rãi, được cho là đã ảnh hưởng đến sự phát triển của Deed RAT, một công cụ kế nhiệm có khả năng xảy ra. Những cửa hậu và trình đánh cắp thông tin tiên tiến này cho phép The Earth Estries ẩn náu trong khi đánh cắp thông tin nhạy cảm từ mục tiêu của chúng.

Khai thác lỗ hổng để truy cập ban đầu

Để tiếp cận mục tiêu, Earth Estries dựa rất nhiều vào các lỗ hổng N-day, là những lỗ hổng trong phần mềm đã được công khai nhưng chưa được người dùng vá. Một số lỗ hổng thường bị khai thác nhất bao gồm lỗ hổng trong Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall và Microsoft Exchange Server. Sau khi các lỗ hổng này bị khai thác, Earth Estries triển khai phần mềm độc hại tùy chỉnh của mình, tiếp tục nhúng vào mạng bị xâm phạm để giám sát và thu thập dữ liệu trong thời gian dài.

Một nhóm phức tạp và được tổ chức tốt

Earth Estries hoạt động theo cách tiếp cận có cấu trúc và tổ chức cao. Dựa trên phân tích của một số chiến dịch, có vẻ như các nhóm khác nhau trong nhóm chịu trách nhiệm nhắm mục tiêu vào các khu vực và ngành công nghiệp cụ thể. Cơ sở hạ tầng Chỉ huy và Kiểm soát (C2) của nhóm cũng được phân cấp, với các nhóm riêng biệt quản lý các hoạt động cửa sau khác nhau. Phân khúc này cho phép thực hiện một loạt các cuộc tấn công phức tạp và phối hợp hơn trên nhiều lĩnh vực khác nhau.

GhostSpider: Một Cấy Ghép Đa Mô-đun

Trọng tâm của các hoạt động của Earth Estries là cấy ghép GhostSpider. Công cụ tinh vi này giao tiếp với cơ sở hạ tầng do kẻ tấn công kiểm soát thông qua một giao thức tùy chỉnh được bảo mật bởi Transport Layer Security (TLS). Cấy ghép có thể truy xuất các mô-đun bổ sung khi cần, mở rộng chức năng của nó. Tính linh hoạt của nó khiến nó trở thành một công cụ mạnh mẽ cho hoạt động gián điệp mạng dài hạn, cho phép Earth Estries thích ứng và phát triển các hoạt động của mình khi tình hình đòi hỏi.

Chiến thuật ẩn núp và né tránh

Earth Estries sử dụng nhiều kỹ thuật tàng hình khác nhau để tránh bị phát hiện. Nhóm này bắt đầu tấn công vào các thiết bị biên, dần dần mở rộng phạm vi hoạt động vào môi trường đám mây, khiến việc phát hiện sự hiện diện của nhóm trở nên khó khăn. Bằng cách duy trì hoạt động ẩn và ẩn sau nhiều lớp cơ sở hạ tầng, Earth Estries đảm bảo các hoạt động của nhóm không bị phát hiện trong thời gian dài, cho phép thu thập dữ liệu không bị gián đoạn.

Các công ty viễn thông: Một mục tiêu thường xuyên

Các công ty viễn thông từ lâu đã là mục tiêu chính của các nhóm đe dọa mạng có liên hệ với Trung Quốc, với Earth Estries gia nhập hàng ngũ của những nhóm khác như Granite Typhoon và Liminal Panda. Các cuộc tấn công này cho thấy sự trưởng thành ngày càng tăng của chương trình mạng của Trung Quốc, đã chuyển từ các cuộc tấn công một lần sang thu thập dữ liệu hàng loạt và các chiến dịch liên tục nhằm vào các nhà cung cấp dịch vụ quan trọng. Trọng tâm của Earth Estries vào các Nhà cung cấp dịch vụ được quản lý (MSP), Nhà cung cấp dịch vụ Internet (ISP) và nhà cung cấp nền tảng báo hiệu sự thay đổi trong chiến lược của Trung Quốc nhằm tiếp cận liên tục các mạng lưới truyền thông toàn cầu.

Kết luận: Mối đe dọa gián điệp mạng ngày càng gia tăng

Khi Earth Estries tiếp tục mở rộng hoạt động, nó làm nổi bật khả năng ngày càng tăng của các nhóm gián điệp mạng có liên hệ với Trung Quốc. Việc sử dụng phần mềm độc hại tinh vi, kết hợp với việc tập trung vào các lĩnh vực cơ sở hạ tầng quan trọng, cho thấy mối đe dọa được tổ chức tốt và đang phát triển. Đối với các tổ chức ở các khu vực bị ảnh hưởng, nhu cầu tăng cường cảnh giác và các biện pháp an ninh mạng mạnh mẽ chưa bao giờ cấp thiết hơn thế.