Language
banner
Centre d'Information
Nous disposons d'une gamme de produits et de services de superbe qualité pour répondre à tous vos besoins.
Maison > Blog

Earth Estries cible le gouvernement et la technologie pour le cyberespionnage

Jul 08, 2023

Nous décomposons une nouvelle campagne de cyberespionnage déployée par un groupe cybercriminel que nous avons nommé Earth Estries. En analysant les tactiques, techniques et procédures (TTP) utilisées, nous avons observé des chevauchements avec le groupe de menaces persistantes avancées (APT) FamousSparrow alors qu'Earth Estries cible les gouvernements et les organisations du secteur technologique.

Par : Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang, Gilbert Sison 30 août 2023 Heure de lecture : ( mots)

Enregistrer dans le folio

Plus tôt cette année, nous avons découvert une nouvelle campagne de cyberespionnage menée par un groupe de hackers que nous avons nommé Earth Estries. D'après nos observations, Earth Estries est actif depuis au moins 2020. Nous avons également trouvé des chevauchements entre les tactiques, techniques et procédures (TTP) utilisées par Earth Estries et celles utilisées par un autre groupe de menaces persistantes avancées (APT), FamousSparrow.

D’après un aperçu général des outils et techniques utilisés dans cette campagne en cours, nous pensons que les acteurs de la menace derrière Earth Estries travaillent avec des ressources de haut niveau et fonctionnent avec des compétences et une expérience sophistiquées en matière de cyberespionnage et d’activités illicites. Les auteurs de la menace utilisent également plusieurs portes dérobées et outils de piratage pour améliorer les vecteurs d'intrusion. Pour laisser le moins d'empreinte possible, ils utilisent des attaques de rétrogradation PowerShell pour éviter la détection par le mécanisme de journalisation de Windows Antimalware Scan Interface (AMSI). De plus, les acteurs abusent des services publics tels que Github, Gmail, AnonFiles et File.io pour échanger ou transférer des commandes et des données volées.

Cette campagne active cible les organisations des secteurs gouvernementaux et technologiques basées aux Philippines, à Taiwan, en Malaisie, en Afrique du Sud, en Allemagne et aux États-Unis. Nous détaillons nos conclusions et notre analyse technique dans cette entrée pour guider les équipes de sécurité et les organisations dans l'examen de l'état de leurs actifs numériques respectifs et pour qu'elles améliorent leurs configurations de sécurité existantes.

Vecteur d'infection

Nous avons découvert qu'Earth Estries avait compromis des comptes existants avec des privilèges administratifs après avoir réussi à infecter l'un des serveurs internes de l'organisation. En installant Cobalt Strike sur le système, les acteurs derrière Earth Estries ont pu déployer davantage de logiciels malveillants et effectuer des mouvements latéraux. Grâce au Server Message Block (SMB) et à la ligne de commande WMI (WMIC), les auteurs de la menace ont propagé des portes dérobées et des outils de piratage sur d'autres machines de l'environnement de la victime. À la fin de chaque cycle d'opérations d'une série de déploiements, ils ont archivé les données collectées dans un dossier spécifié. D'après nos échantillons et nos analyses, les auteurs de la menace ont ciblé les fichiers PDF et DDF, qu'ils ont téléchargés vers les référentiels de stockage en ligne AnonFiles ou File.io à l'aide de curl.exe.

Nous avons également noté que les auteurs de la menace nettoyaient régulièrement leur porte dérobée existante après avoir terminé chaque cycle d'opération et redéployaient un nouveau logiciel malveillant lorsqu'ils commençaient un autre cycle. Nous pensons qu'ils le font pour réduire le risque d'exposition et de détection.

Outils de porte dérobée et de piratage

Nous avons observé les acteurs de la menace utilisant divers outils dans cette campagne, notamment des voleurs d'informations, des voleurs de données de navigateur et des scanners de ports, entre autres. Dans cette section, nous nous concentrons sur les ensembles d’outils récemment découverts et remarquables et discutons de leurs détails techniques.

Porte Zing

Zingdoor est une nouvelle porte dérobée HTTP écrite en Go. Bien que nous ayons rencontré Zingdoor pour la première fois en avril 2023, certains journaux indiquent que les premiers développements de cette porte dérobée ont eu lieu en juin 2022. Cependant, elle a rarement été vue dans la nature et n'a été observée que comme étant utilisée chez un nombre limité de victimes, probablement en tant que porte dérobée nouvellement conçue avec des capacités multiplateformes. Zingdoor est emballé avec UPX et fortement obscurci par un moteur d'obscurcissement personnalisé.

Nous avons noté que Zingdoor adopte des techniques de déballage anti-UPX. Généralement, le nombre magique d'UPX est « UPX ! », mais dans ce cas, il a été modifié en « MSE ! », et l'application UPX ne peut pas décompresser ce fichier modifié. Cette technique est simple et utilisée dans les types de logiciels malveillants de l'Internet des objets (IoT), mais elle est considérée comme rare dans les activités APT.

>, archived usingthe .tar command, and encrypted with an XOR algorithm. Then the collected data will be sent to the threat actor’s email account trillgamby@gmail[.]com over SMTP (Simple Mail Transfer Protocol). Another noteworthy capability of TrillClient is its ability to update its version. As the value of “version” defined in the downloaded config is newer than the current version number, it will download the newer one from the GitHub repository and update itself./p>
Précédents
Retour à la liste
Suivant