Киберугроза от Earth Estries: атаки на инфраструктуру глобально
Источник: www.cyfirma.com
Китайская APT-группа Earth Estries стала известна своими передовыми методами кибершпионажа, нацеленными на критически важные объекты инфраструктуры и государственные учреждения по всему миру. Недавние кампании этой группы продемонстрировали высокую степень организации и сложный подход к работе с различными секторами экономики.
Кампания «Бета-версия»
Одним из главных направлений этой деятельности стала постоянная инициатива, ориентированная на телекоммуникации, получившая название «Бета-версия кампании». Эта кампания оказала влияние на телекоммуникационных провайдеров в таких странах, как:
- Тайвань
- Таиланд
- Индия
- Соединенные Штаты
В число основных вредоносных программ, используемых в этих атаках, вошли DEMODEX, GHOSTSPIDER и SNAPPYBEE. Сообщения подтверждают нарушения, связанные с крупными операторами связи в США.
Кампания «Альфа»
В дополнение к работе с телекоммуникационными компаниями, Earth Estries также сосредоточила усилия на атаках на организации, связанные с правительством, в различных регионах, включая Азиатско-Тихоокеанский регион, США, Южную Африку и Ближний Восток. Эта операция известна как «кампания Альфа» и включает:
- Прямые атаки на правительственные учреждения
- Атаки на консалтинговые фирмы, сотрудничающие с правительством США и военным сектором
Инструменты, используемые в этих операциях, включают DEMODEX и Cobalt Strike, что способствует широкомасштабной компрометации организаций, включая технологии, НПО и транспорт.
Методы атак и уязвимости
Earth Estries использует ряд методов начального доступа, направленных на эксплуатации известных уязвимостей в общедоступных приложениях. К наиболее заметным уязвимостям относятся:
- Microsoft Exchange Server (уязвимости ProxyLogon)
- Ivanti Connect Secure (CVE-2023-46805 с оценкой 8,2 и CVE-2024-21887 с оценкой 9,1)
- FortiClient EMS (CVE-2023-48788 с оценкой CVSS 9,8)
- Брандмауэр Sophos (CVE-2022-3236, также с оценкой 9,8)
Методы выполнения и сохранения данных
Оказавшись внутри сети, группа использует методы выполнения и сохранения данных, такие как:
- Законные двоичные файлы Windows (LOLBINS), например, PSEXEC и WMIC
- Сценарии PowerShell, способные обходить методы обнаружения, такие как AMSI
- Пользовательские бэкдоры, такие как GHOSTSPIDER и MASOL RAT
- Руткиты, например, DEMODEX для поддержания долгосрочного доступа
Методы обхода защиты характеризуются высокой сложностью и включают операции с памятью, зашифрованные каналы управления (C&C), а также очистку артефактов вредоносного ПО после выполнения операций.
Инфраструктура команд и эксфильтрация данных
Инфраструктура команд C&C сложна и управляется отдельными подразделениями. Для этого часто используются многоступенчатые прокси-серверы и общедоступные службы обмена файлами для связи и фильтрации данных. Эксфильтрация данных осуществляется с помощью таких программ, как TrillClient, которые в комплекте с утилитами помогают архивировать и загружать данные на внешние файлообменные платформы.
Заключение
Тактика, применяемая Earth Estries, демонстрирует высокоорганизованного и находчивого хакера, который владеет надежными методами совершения масштабных киберопераций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
