Earth Estries prende di mira il governo e la tecnologia per lo spionaggio informatico

Analizziamo una nuova campagna di cyberspionaggio lanciata da un gruppo di criminali informatici che abbiamo chiamato Earth Estries. Analizzando le tattiche, le tecniche e le procedure (TTP) impiegate, abbiamo osservato sovrapposizioni con il gruppo APT (Advanced Persistent Threat) FamousSparrow poiché Earth Estries prende di mira governi e organizzazioni nel settore tecnologico.

Di: Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang, Gilbert Sison 30 agosto 2023 Tempo di lettura: (parole)

Salva su Folio

All'inizio di quest'anno, abbiamo scoperto una nuova campagna di cyberspionaggio da parte di un gruppo di hacker che abbiamo chiamato Earth Estries. Sulla base delle nostre osservazioni, Earth Estries è attivo almeno dal 2020. Abbiamo anche riscontrato alcune sovrapposizioni tra le tattiche, le tecniche e le procedure (TTP) utilizzate da Earth Estries e quelle utilizzate da un altro gruppo Advanced Persistent Threat (APT), FamousSparrow.

Da una panoramica generale degli strumenti e delle tecniche utilizzati in questa campagna in corso, riteniamo che gli autori delle minacce dietro Earth Estries stiano lavorando con risorse di alto livello e operando con competenze ed esperienza sofisticate nello spionaggio informatico e nelle attività illecite. Gli autori delle minacce utilizzano anche molteplici backdoor e strumenti di hacking per potenziare i vettori di intrusione. Per lasciare il minor impatto possibile, utilizzano attacchi di downgrade di PowerShell per evitare il rilevamento da parte del meccanismo di registrazione di Windows Antimalware Scan Interface (AMSI). Inoltre i criminali abusano di servizi pubblici come Github, Gmail, AnonFiles e File.io per scambiare o trasferire comandi e dati rubati.

Questa campagna attiva si rivolge alle organizzazioni del settore governativo e tecnologico con sede nelle Filippine, Taiwan, Malesia, Sud Africa, Germania e Stati Uniti. Descriviamo in dettaglio i nostri risultati e le nostre analisi tecniche in questo articolo per guidare i team e le organizzazioni di sicurezza nella revisione dello stato delle rispettive risorse digitali e per consentire loro di migliorare le configurazioni di sicurezza esistenti.

Vettore di infezione

Abbiamo scoperto che Earth Estries ha compromesso gli account esistenti con privilegi amministrativi dopo aver infettato con successo uno dei server interni dell'organizzazione. Installando Cobalt Strike sul sistema, gli attori dietro Earth Estries sono stati in grado di distribuire più malware ed eseguire movimenti laterali. Attraverso il Server Message Block (SMB) e la riga di comando WMI (WMIC), gli autori delle minacce hanno propagato backdoor e strumenti di hacking in altre macchine nell'ambiente della vittima. Al termine di ogni ciclo di operazioni in una serie di distribuzioni, hanno archiviato i dati raccolti da una cartella specificata. Secondo i nostri campioni e analisi, gli autori delle minacce hanno preso di mira file PDF e DDF, che hanno caricato nei repository di archiviazione online AnonFiles o File.io utilizzando curl.exe.

Abbiamo anche notato che gli autori delle minacce pulivano regolarmente la backdoor esistente dopo aver terminato ogni ciclo di operazioni e ridistribuivano un nuovo malware quando iniziavano un altro ciclo. Riteniamo che lo facciano per ridurre il rischio di esposizione e rilevamento.

Backdoor e strumenti di hacking

Abbiamo osservato gli autori delle minacce utilizzare vari strumenti in questa campagna, tra cui furti di informazioni, furti di dati del browser e scanner di porte, tra gli altri. In questa sezione ci concentriamo sui set di strumenti scoperti di recente e degni di nota e ne discutiamo i dettagli tecnici.

Zingdoor

Zingdoor è una nuova backdoor HTTP scritta in Go. Anche se abbiamo incontrato Zingdoor per la prima volta nell'aprile 2023, alcuni registri indicano che i primi sviluppi di questa backdoor hanno avuto luogo nel giugno 2022. Tuttavia, era stata vista raramente in natura ed era stata osservata utilizzata solo su un numero limitato di vittime, probabilmente come backdoor di nuova concezione con funzionalità multipiattaforma. Zingdoor è compresso utilizzando UPX e fortemente offuscato da un motore di offuscamento personalizzato.

Abbiamo notato che Zingdoor adotta tecniche di disimballaggio anti-UPX. In genere, il numero magico di UPX è "UPX!", ma in questo caso è stato modificato in "MSE!" e l'applicazione UPX non può decomprimere questo file modificato. Questa tecnica è semplice e nei tipi di malware dell'Internet delle cose (IoT), ma è considerata rara nelle attività APT.