Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Earth Estries visa governo e tecnologia para espionagem cibernética
Analisamos uma nova campanha de ciberespionagem implantada por um grupo cibercriminoso que chamamos de Earth Estries. Analisando as táticas, técnicas e procedimentos (TTPs) empregados, observamos sobreposições com o grupo de ameaças persistentes avançadas (APT) FamousSparrow, já que o Earth Estries tem como alvo governos e organizações do setor de tecnologia.
Por: Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang, Gilbert Sison 30 de agosto de 2023 Tempo de leitura: (palavras)
Salvar no fólio
No início deste ano, descobrimos uma nova campanha de ciberespionagem realizada por um grupo de hackers que chamamos de Earth Estries. Com base em nossas observações, o Earth Estries está ativo pelo menos desde 2020. Também encontramos algumas sobreposições entre as táticas, técnicas e procedimentos (TTPs) usados pelo Earth Estries e aqueles usados por outro grupo de ameaça persistente avançada (APT), o FamousSparrow.
A partir de uma visão geral das ferramentas e técnicas utilizadas nesta campanha em curso, acreditamos que os atores da ameaça por trás dos Earth Estries estão a trabalhar com recursos de alto nível e a funcionar com competências sofisticadas e experiência em espionagem cibernética e atividades ilícitas. Os atores da ameaça também usam vários backdoors e ferramentas de hacking para aprimorar os vetores de intrusão. Para deixar o mínimo de espaço possível, eles usam ataques de downgrade do PowerShell para evitar a detecção do mecanismo de registro do Windows Antimalware Scan Interface (AMSI). Além disso, os atores abusam de serviços públicos como Github, Gmail, AnonFiles e File.io para trocar ou transferir comandos e dados roubados.
Esta campanha ativa tem como alvo organizações governamentais e indústrias de tecnologia baseadas nas Filipinas, Taiwan, Malásia, África do Sul, Alemanha e EUA. Detalhamos nossas descobertas e análises técnicas nesta entrada para orientar equipes e organizações de segurança na revisão do status de seus respectivos ativos digitais e para que possam aprimorar suas configurações de segurança existentes.
Vetor de infecção
Descobrimos que o Earth Estries comprometeu contas existentes com privilégios administrativos depois de infectar com sucesso um dos servidores internos da organização. Ao instalar o Cobalt Strike no sistema, os atores por trás do Earth Estries foram capazes de implantar mais peças de malware e realizar movimentos laterais. Por meio do Server Message Block (SMB) e da linha de comando WMI (WMIC), os agentes da ameaça propagaram backdoors e ferramentas de hacking em outras máquinas no ambiente da vítima. Ao final de cada rodada de operações em uma série de implantações, eles arquivavam os dados coletados de uma pasta específica. De acordo com nossas amostras e análises, os agentes da ameaça tinham como alvo arquivos PDF e DDF, que os agentes carregaram nos repositórios de armazenamento online AnonFiles ou File.io usando curl.exe.
Também observamos que os agentes da ameaça limpavam regularmente o backdoor existente após terminar cada rodada de operação e reimplantavam um novo malware quando iniciavam outra rodada. Acreditamos que eles fazem isso para reduzir o risco de exposição e detecção.
Ferramentas de backdoor e hacking
Observamos os agentes da ameaça usando diversas ferramentas nesta campanha, incluindo ladrões de informações, ladrões de dados de navegadores e scanners de portas, entre outros. Nesta seção, nos concentramos em conjuntos de ferramentas recém-descobertos e dignos de nota e discutimos seus detalhes técnicos.
Porta Zing
Zingdoor é um novo backdoor HTTP escrito em Go. Embora tenhamos encontrado o Zingdoor pela primeira vez em abril de 2023, alguns registros indicam que os primeiros desenvolvimentos desse backdoor ocorreram em junho de 2022. No entanto, ele raramente foi visto na natureza e só foi observado sendo usado em um número limitado de vítimas, provavelmente como um backdoor recém-projetado com recursos de plataforma cruzada. Zingdoor é empacotado usando UPX e fortemente ofuscado por um mecanismo ofuscador personalizado.
Observamos que o Zingdoor adota técnicas de descompactação anti-UPX. Geralmente, o número mágico do UPX é “UPX!”, mas neste caso foi modificado para “MSE!”, e o aplicativo UPX não pode descompactar este arquivo modificado. Essa técnica é fácil e está presente nos tipos de malware da Internet das Coisas (IoT), mas é considerada rara nas atividades de APT.