GhostSpider 后门

翻译为：

一个与中国有关的网络间谍组织 Earth Estries 一直以东南亚及其他地区的电信和政府实体为目标。该组织采用了各种先进技术来渗透关键行业，包括使用名为 GhostSpider 的未记录后门。据观察，该威胁行为者还利用多个漏洞来未经授权访问其目标，这揭示了中国网络能力日益复杂化。

GhostSpider：未记录的后门

GhostSpider 是 Earth Estries 武器库中的新成员，已被用作渗透网络的主要方法。这个后门具有很强的针对性，专门用于利用东南亚电信公司基础设施的弱点。Earth Estries 将此工具与另一个后门 MASOL RAT（也称为 Backdr-NQ）一起使用，以 Linux 和政府网络系统为目标。该组织使用定制恶意软件的策略确保在受感染的网络中持续存在，从而实现长期的网络间谍活动。

全球影响力：瞄准多个行业

Earth Estries 在入侵电信、技术、咨询、交通、化学工业和政府组织等多个行业方面取得了重大进展。该组织的行动范围覆盖十多个国家，受害者超过 20 人，包括阿富汗、巴西、印度、印度尼西亚、马来西亚、南非、美国和越南。这种广泛的目标凸显了该组织的能力和野心，估计有 150 名受害者受到其活动的影响，尤其是在美国政府和私营部门。

地球埃斯特里的工具

在 Earth Estries 掌握的众多工具中，Demodex rootkit 和 Deed RAT（也称为 SNAPPYBEE）尤为突出。这些工具以及 Crowdoor 和 TrillClient 等其他工具是该组织行动不可或缺的一部分。ShadowPad 是中国 APT 组织广泛使用的恶意软件家族，据信它影响了 Deed RAT（可能的继任者）的开发。这些先进的后门和信息窃取程序使 Earth Estries 能够保持隐蔽，同时窃取目标的敏感信息。

利用漏洞获取初始访问权限

为了获取目标，Earth Estries 严重依赖 N-day 漏洞，即已公开披露但尚未被用户修补的软件漏洞。最常被利用的一些漏洞包括 Ivanti Connect Secure、Fortinet FortiClient EMS、Sophos Firewall 和 Microsoft Exchange Server 中的漏洞。一旦这些漏洞被利用，Earth Estries 就会部署其自定义恶意软件，进一步嵌入受感染的网络中，进行长期监视和数据收集。

一个复杂且组织严密的团体

Earth Estries 的运作方式高度结构化和组织化。根据对多个活动的分析，该组织内部的不同团队似乎负责针对特定地区和行业。该组织的指挥和控制 (C2) 基础设施也是分散的，不同的团队管理不同的后门操作。这种划分允许跨各个部门发起更复杂、更协调的一系列攻击。

GhostSpider：一种多模块植入程序

Earth Estries 行动的核心是 GhostSpider 植入体。这种复杂的工具通过由传输层安全性 (TLS) 保护的自定义协议与攻击者控制的基础设施进行通信。植入体可以根据需要检索其他模块，从而扩展其功能。它的灵活性使其成为长期网络间谍活动的强大工具，使 Earth Estries 能够根据情况需要调整和发展其行动。

隐身和逃避战术

Earth Estries 采用各种隐身技术来避免被发现。该组织从边缘设备开始攻击，逐渐将范围扩大到云环境，使其难以被发现。通过保持低调并隐藏在层层基础设施后面，Earth Estries 确保其活动长时间不被发现，从而可以不间断地收集数据。

电信公司：常见目标

长期以来，电信公司一直是与中国有关的网络威胁团体的主要目标，Earth Estries 加入了 Granite Typhoon 和 Liminal Panda 等组织的行列。这些攻击表明，中国的网络计划日趋成熟，已从一次性攻击转变为针对关键服务提供商的大规模数据收集和持续攻击。Earth Estries 专注于托管服务提供商 (MSP)、互联网服务提供商 (ISP) 和平台提供商，这表明中国在获取全球通信网络持续访问权的战略方面发生了转变。

结论：网络间谍威胁日益严重

随着 Earth Estries 继续扩大其业务，它凸显了与中国有关的网络间谍组织日益增强的能力。使用复杂的恶意软件，加上对关键基础设施部门的关注，表明威胁组织严密且不断演变。对于受影响地区的组织而言，提高警惕和采取强有力的网络安全措施的需求从未如此迫切。