幽靈蜘蛛後門

翻譯為：

一個與中國有關的複雜網路間諜組織「Earth Estries」一直將東南亞及其他地區的電信和政府實體作為目標。該組織採用了多種先進技術來滲透關鍵產業，包括使用名為 GhostSpider 的無證後門。據觀察，該威脅行為者還利用多個漏洞未經授權存取其目標，顯示中國的網路能力日益複雜。

GhostSpider：無證後門

GhostSpider 是 Earth Estries 武器庫中的新成員，已被用作滲透網路的主要方法。該後門具有很強的針對性，專門針對東南亞電信公司基礎設施的弱點而設計。 Earth Estries 將此工具與另一個後門 MASOL RAT（也稱為 Backdr-NQ）一起使用，以針對 Linux 和政府網路系統。該組織使用客製化惡意軟體的策略可確保在受感染的網路中持續存在，從而實現長期的網路間諜活動。

全球影響力：瞄準多個產業

Earth Estries 在危害多個領域方面取得了重大進展，包括電信、技術、諮詢、運輸、化學工業和政府組織。該組織的行動涉及阿富汗、巴西、印度、印尼、馬來西亞、南非、美國和越南等十幾個國家的 20 多名受害者。這個廣泛的目標凸顯了該組織的能力和野心，估計有 150 名受害者受到其活動的影響，特別是在美國政府和私營部門。

地球的工具

在 The Earth Estries 可以使用的眾多工具中，蠕形蟎 rootkit 和 Deed RAT（也稱為 SNAPPYBEE）脫穎而出。這些工具以及 Crowdoor 和 TrillClient 等其他工具是集團營運不可或缺的一部分。 ShadowPad 是中國 APT 組織廣泛使用的惡意軟體家族，據信影響了 Deed RAT（可能的繼任者）的發展。這些先進的後門和資訊竊取程序使 The Earth Estries 能夠在從目標中竊取敏感資訊的同時保持隱藏狀態。

利用漏洞進行初始訪問

為了存取其目標，Earth Estries 嚴重依賴 N 天漏洞，這些漏洞是已公開披露但用戶尚未修補的軟體缺陷。一些最常被利用的漏洞包括 Ivanti Connect Secure、Fortinet FortiClient EMS、Sophos Firewall 和 Microsoft Exchange Server 中的漏洞。一旦這些漏洞被利用，Earth Estries 就會部署其客製化惡意軟體，進一步將自身嵌入到受感染的網路中，以進行長期監視和資料收集。

一個複雜且組織良好的團體

Earth Estries 採用高度結構化和組織化的方式來運作。根據對多個活動的分析，該集團內的不同團隊似乎負責針對特定地區和產業。該組織的命令與控制 (C2) 基礎設施也是分散的，由不同的團隊管理不同的後門操作。這種分段允許跨不同部門進行更複雜、更協調的一系列攻擊。

GhostSpider：多模組植入物

Earth Estries 營運的核心是 GhostSpider 植體。這種複雜的工具透過由傳輸層安全性 (TLS) 保護的自訂協定與攻擊者控制的基礎設施進行通訊。植入物可以根據需要檢索附加模組，從而擴展其功能。它的靈活性使其成為長期網路間諜活動的強大工具，使地球東部能夠根據情況需要調整和發展其行動。

潛行和躲避策略

Earth Estries 採用多種隱形技術來避免被發現。該組織從邊緣設備開始攻擊，逐漸將其影響範圍擴展到雲端環境，使其難以偵測到其存在。透過保持低調並隱藏在多層基礎設施後面，Earth Estries 可確保其活動長時間不被發現，從而實現不間斷的資料收集。

電信公司：常見目標

長期以來，電信公司一直是與中國相關的網路威脅組織的主要目標，Earth Estries 也加入了 Granite Typhoon 和 Liminal Panda 等其他組織的行列。這些攻擊表明中國的網路計劃日益成熟，已從一次性攻擊轉向大量資料收集和針對關鍵服務提供者的持續攻擊。 The Earth Estries 對託管服務供應商 (MSP)、網路服務供應商 (ISP) 和平台供應商的關注標誌著中國策略的轉變，以持續連接全球通訊網路。

結論：日益增長的網路間諜威脅

隨著 Earth Estries 不斷擴大其業務，突顯了與中國相關的網路間諜組織的能力不斷增強。複雜惡意軟體的使用，加上對關鍵基礎設施部門的關注，顯示了一種組織良好且不斷演變的威脅。對於受影響地區的組織來說，提高警覺和採取強有力的網路安全措施的必要性從未如此迫切。