Novootkriveni haker u tišini krade informacije od vlada i tehnoloških organizacija širom svijeta.
Kampanja koja je u toku dolazi zahvaljujući “Earth Estries”. Prethodno nepoznata grupa postoji najmanje od 2020. godine, prema novom izvještaju Trend Micro-a , i u određenoj mjeri se preklapa s drugom grupom za cyber špijunažu, FamousSparrow. Iako mete obično dolaze iz nekoliko istih industrija, one se protežu širom svijeta od SAD-a do Filipina, Njemačke, Tajvana, Malezije i Južne Afrike.
Earth Estries ima sklonost da koristi DLL sideloading za pokretanje bilo kojeg od svoja tri prilagođena malware-a – dva backdoor-a i infostealer – zajedno s drugim alatima kao što je Cobalt Strike. “Hakeri iza Earth Estriesa rade sa resursima visokog nivoa i funkcionišu sa sofisticiranim vještinama i iskustvom u sajber špijunaži i nezakonitim aktivnostima”, napisali su istraživači Trend Micro-a.
Earth Estries Toolset
Earth Estries posjeduje tri jedinstvena malware alata: Zingdoor, TrillClient i HemiGate.
Zingdoor je HTTP backdoor koji je prvi put razvijen u junu 2022. godine, a od tada se primjenjuje samo u ograničenim slučajevima. Napisan je na Golangu (Go), pružajući mu mogućnosti za više platformi, i prepun UPX-a. Može da preuzme informacije o sistemu i Windows uslugama; enumeracija, otpremanje ili preuzimanje datoteka; i pokrenuti proizvoljne komande na host mašini.
TrillClient je kombinacija instalera i infostealer-a, takođe napisana u Go-u i upakovana u Windows cabinet fajl (.cab). Stealer je dizajniran za prikupljanje kredencijala preglednika, s dodatnom mogućnošću djelovanja ili spavanja na komandu, ili u nasumičnim intervalima, s ciljem izbjegavanja otkrivanja. Zajedno sa Zingdoor-om, ima prilagođeni obfuscator dizajniran da blokira alate za analizu.
Najznačajniji alat grupe je backdoor HemiGate. Ovaj all-in-one malware sa više instanci, uključuje funkcije za keylogging, snimanje ekrana, pokretanje komandi i nadgledanje, dodavanje, brisanje i uređivanje datoteka, direktorija i procesa.
Earth Estries’ metode
U aprilu su istraživači primijetili kako Earth Estries koristi kompromitovane naloge sa administrativnim privilegijama da zarazi interne servere organizacije; način na koji su ti nalozi kompromitovani je nepoznat. Postavili su Cobalt Strike kako bi uspostavili uporište u sistemu, a zatim su koristili blok poruka servera (SMB) i WMI komandnu liniju kako bi ubacili vlastiti malware.
U svojim metodama, Earth Estries odaje utisak čiste, namjerne operacije.
Na primjer, da bi izvršio svoj malware na host stroju, pouzdano se odlučuje za lukavu metodu bočnog učitavanja DLL-a. I, objasnili su istraživači, “hakeri su redovno spremali svoja postojeća stražnja vrata nakon završetka svake runde operacije i ponovo postavljali novi dio malware-a kada su započeli drugi krug. Vjerujemo da to rade kako bi smanjili rizik od izlaganja i otkrivanja.”
DLL sideloading i drugi alat koji grupa koristi — Fastly CDN — popularni su kod APT41 podgrupa kao što je Earth Longzhi. Trend Micro je takođe otkrio preklapanja između Earth Estries-ovog backdoor loadera i FamousSparrow-a. Ipak, tačno porijeklo Earth Estriesa nije jasno. Ne pomaže ni to što je njegova C2 infrastruktura raspoređena na pet kontinenata, pokrivajući sve Zemljine hemisfere: od Kanade do Australije, Finske do Laosa, s najvećom koncentracijom u SAD-u i Indiji.
Istraživači bi uskoro mogli saznati više o grupi, jer njena kampanja protiv vladinih i tehnoloških organizacija širom svijeta i dalje traje i danas.
Izvor: Dark Reading
