Sajber-sigurnosni krajolik je narušio Earth Alux, grupa za napredne persistentne prijetnje (APT) povezana s Kinom koja aktivno provodi špijunske operacije od drugog kvartala 2023. godine.
Prvobitno ciljajući na azijsko-pacifičku regiju, grupa je do sredine 2024. proširila svoje poslovanje na Latinsku Ameriku, prvenstveno fokusirajući se na vladu, tehnologiju, logistiku, proizvodnju, telekomunikacije, IT usluge i maloprodajne sektore u zemljama uključujući Tajland, Filipine, Maleziju, Tajvan i Brazil.
Earth Alux prvenstveno dobija početni pristup iskorišćavanjem ranjivih usluga na izloženim serverima, a zatim implantira web shell-a kao što je GODZILLA kako bi olakšao isporuku svog malicioznog softvera.
.webp)
Grupa prvenstveno koristi VARGEIT kao svoj primarni backdoor, zajedno sa COBEACON-om, sa VARGEIT-om koji se koristi u više faza svojih napada kako bi održao postojanost i izvršio maliciozni operacije .
Trend Micro istraživači su otkrili da napadači koriste sofisticirane tehnike kako bi osigurali skrivenost i dugovječnost u ciljanim okruženjima, redovno testirajući svoje skupove alata prije implementacije.
Kada se uspostavi u mreži, Earth Alux se fokusira na dugoročno prikupljanje i eksfiltraciju podataka, što potencijalno može dovesti do poremećenih operacija i značajnih finansijskih gubitaka u kritičnim industrijama.
VARGEIT radi kao višekanalni konfigurisani backdoor sa izvanrednim mogućnostima, uključujući prikupljanje informacija o drajvu, praćenje procesa, manipulaciju datotekama , izvršavanje komandne linije i mogućnost ubacivanja dodatnih alata bez ostavljanja tragova na sistemu datoteka.
.webp)
Ono što ovaj malver čini posebno zabrinjavajućim je njegova sposobnost da iskoristi više komunikacijskih kanala, pri čemu se Outlook kanal (koristeći Graph API) pretežno koristi u uočenim napadima.
Tehnika ubrizgavanja mspaint
Najizrazitiji aspekt VARGEIT-ovog rada je njegova jedinstvena tehnika ubrizgavanja mspaint.
Umjesto da ispušta datoteke na ciljni sistem, maliciozni softver otvara instance mspaint.exe u koje ubacuje shellcode primljen direktno od servera za komandu i kontrolu.
Ova tehnika omogućava Earth Alux-u da izvrši dodatne alate bez ostavljanja artefakata koji se mogu otkriti na disku.
.webp)
Proces ubrizgavanja koristi RtlCreateUserThread, VirtualAllocEx i WriteProcessMemory API-je, kao što je prikazano u ovom primjeru obrasca komandi uočenog tokom izviđačkih aktivnosti:-
C:\Windows\System32\mspaint.exe sElf98RqkF ldap Ovi mspaint procesi izvode različite maliciozne aktivnosti, uključujući ispitivanje dnevnika sigurnosnih događaja, otkrivanje grupnih politika, mrežno/LDAP izviđanje i eksfiltraciju podataka.
Tokom operacija eksfiltracije, maliciozni softver se povezuje s kantom za pohranu u oblaku pod kontrolom napadača, šaljući komprimirane arhive prikupljenih osjetljivih informacija..
Izvor: CyberSecurityNews