Zadní vrátka GhostSpider

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Zadní vrátka, Malware

Přeložit do:

Sofistikovaná kybernetická špionážní skupina napojená na Čínu známá jako Earth Estries se zaměřuje na telekomunikační a vládní subjekty v jihovýchodní Asii i mimo ni. Skupina použila řadu pokročilých technik k infiltraci kritických odvětví, včetně použití nedokumentovaných zadních vrátek jménem GhostSpider. Tento aktér hrozby byl také pozorován, jak využívá několik zranitelností k získání neoprávněného přístupu ke svým cílům, což odhaluje rostoucí sofistikovanost čínských kybernetických schopností.

Obsah

GhostSpider: The Undocumented Backdoor

GhostSpider, nový přírůstek do arzenálu Earth Estries, byl použit jako primární metoda k infiltraci sítí. Tato zadní vrátka jsou vysoce cílená, speciálně vytvořená k využití slabin v infrastruktuře telekomunikačních firem z jihovýchodní Asie. The Earth Estries používá tento nástroj spolu s MASOL RAT (také známým jako Backdr-NQ), dalším zadním vrátkem, k cílení na linuxové i vládní síťové systémy. Strategie skupiny používat malware na míru zajišťuje trvalou přítomnost v ohrožených sítích, což umožňuje dlouhodobou kybernetickou špionáž.

Globální dosah: Cílení na více sektorů

Earth Estries učinila významný pokrok v kompromitování široké škály sektorů, včetně telekomunikací, technologií, poradenství, dopravy, chemického průmyslu a vládních organizací. Operace skupiny zahrnují více než 20 obětí ve více než tuctu zemí, včetně Afghánistánu, Brazílie, Indie, Indonésie, Malajsie, Jižní Afriky, USA a Vietnamu. Toto široké zacílení podtrhuje schopnosti a ambice skupiny s odhadem 150 obětí zasažených jejich aktivitami, zejména v rámci americké vlády a soukromého sektoru.

Nástroje Země Estries

Mezi mnoha nástroji, které má The Earth Estries k dispozici, vynikají rootkit Demodex a Deed RAT (také známý jako SNAPPYBEE). Tyto nástroje, spolu s dalšími, jako je Crowdoor a TrillClient, jsou nedílnou součástí operací skupiny. Předpokládá se, že ShadowPad, rodina malwaru široce používaná čínskými skupinami APT, ovlivnila vývoj Deed RAT, pravděpodobného nástupce. Tato pokročilá zadní vrátka a zloději informací umožňují The Earth Estries zůstat skryti a zároveň exfiltrovat citlivé informace ze svých cílů.

Zneužívání zranitelností pro počáteční přístup

Při získávání přístupu ke svým cílům se Earth Estries silně spoléhá na zranitelnosti N-day, což jsou chyby v softwaru, které byly veřejně odhaleny, ale uživatelé je ještě neopravili. Některé z nejčastěji využívaných zranitelností zahrnují ty v Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall a Microsoft Exchange Server. Jakmile jsou tyto zranitelnosti zneužity, Earth Estries nasadí svůj vlastní malware a dále se začlení do kompromitované sítě pro dlouhodobý dohled a sběr dat.

Komplexní a dobře organizovaná skupina

Earth Estries pracuje s vysoce strukturovaným a organizovaným přístupem. Na základě analýzy několika kampaní se zdá, že různé týmy ve skupině jsou odpovědné za cílení na konkrétní regiony a odvětví. Infrastruktura skupiny Command-and-Control (C2) je také decentralizovaná a různé týmy řídí různé operace typu backdoor. Tato segmentace umožňuje komplexnější a koordinovanější sérii útoků napříč různými sektory.

GhostSpider: Multimodulový implantát

Srdcem operací Earth Estries je implantát GhostSpider. Tento sofistikovaný nástroj komunikuje s infrastrukturou řízenou útočníky prostřednictvím vlastního protokolu zabezpečeného technologií Transport Layer Security (TLS). Implantát může podle potřeby získávat další moduly a rozšiřovat tak jeho funkčnost. Jeho flexibilita z něj činí výkonný nástroj pro dlouhodobou kybernetickou špionáž, který umožňuje společnosti Earth Estries přizpůsobovat a vyvíjet své operace podle situace.

Stealth a taktika úniku

Earth Estries využívá různé tajné techniky, aby se zabránilo odhalení. Skupina zahajuje své útoky na okrajových zařízeních, postupně rozšiřuje svůj dosah do cloudových prostředí, což ztěžuje detekci jeho přítomnosti. Tím, že si Earth Estries udržuje nízký profil a skrývá se za vrstvami infrastruktury, zajišťuje, že její aktivity zůstanou po dlouhou dobu nezjištěny, což umožňuje nepřerušovaný sběr dat.

Telekomunikační společnosti: Častý cíl

Telekomunikační společnosti jsou již dlouho hlavním cílem skupin kybernetických hrozeb napojených na Čínu, přičemž Earth Estries se připojuje k dalším, jako je Granite Typhoon a Liminal Panda. Tyto útoky odhalují zvýšené vyzrávání čínského kybernetického programu, který se posunul od jednorázových útoků k hromadnému sběru dat a trvalým kampaním zaměřeným na poskytovatele kritických služeb. Zaměření společnosti Earth Estries na poskytovatele spravovaných služeb (MSP), poskytovatele internetových služeb (ISP) a poskytovatele platforem signalizuje posun v čínské strategii získat nepřetržitý přístup ke globálním komunikačním sítím.

Závěr: Rostoucí hrozba kybernetické špionáže

Jak Earth Estries pokračuje v rozšiřování svých operací, zdůrazňuje rostoucí schopnosti kybernetických špionážních skupin napojených na Čínu. Použití sofistikovaného malwaru v kombinaci se zaměřením na sektory kritické infrastruktury ukazuje dobře organizovanou a vyvíjející se hrozbu. Pro organizace v postižených regionech nebyla potřeba zvýšené ostražitosti a robustních opatření v oblasti kybernetické bezpečnosti nikdy důležitější.