Çinli bir APT grubu olan Earth Estries, 2023’ten beri aktif olarak telekomünikasyon ve devlet kurumları gibi kritik sektörleri hedef alıyor.
Güvenlik açıklarından yararlanma, yanal hareket ve Güneydoğu Asya’yı önemli ölçüde etkileyen GHOSTSPIDER, SNAPPYBEE ve MASOL RAT gibi birden fazla arka kapının dağıtılması gibi gelişmiş teknikler kullanıyorlar.
Grup, gelişmiş bir komuta ve kontrol altyapısından yararlanıyor ve araçları paylaşmak için diğer Çin gelişmiş kalıcı tehdit (APT) gruplarıyla işbirliği yapıyor.
FamousSparrow, GhostEmperor ve Salt Typhoon ile bazı örtüşmeler olsa da kesin bağlantılar belirsizliğini koruyor. Earth Estries’in ısrarlı ve karmaşık operasyonları küresel siber güvenliğe ciddi bir tehdit oluşturuyor.
Son derece gelişmiş bir tehdit aktörü olan Earth Estries, çok çeşitli endüstrilere ve coğrafi konumlara yayılan yirmiden fazla organizasyonu tehlikeye attı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Ivanti Connect Secure VPN, Fortinet FortiClient EMS, Sophos Firewall ve Microsoft Exchange gibi halka açık sunuculardaki N günlük güvenlik açıklarından yararlanıyorlar.
Uzlaşma sonrasında, yanal hareket için araziden uzakta yaşayan ikili programları kullanırlar ve kalıcı casusluk operasyonları yürütmek için SNAPPYBEE, DEMODEX ve GHOSTSPIDER gibi özel kötü amaçlı yazılımları kullanırlar.
Grubun farklı saldırı aşamaları ve bölgeleri için uzmanlaşmış ekiplerle iyi yapılandırılmış operasyonları, yüksek düzeyde karmaşıklık ve beceriklilik göstermektedir.
Ekim 2023’te hedefli saldırılara ilişkin bir araştırma, frpc (ShadowPad SSL sertifikasına bağlı), PowerShell komut dosyaları (GhostEmperor’un damlalığına benzer) ve SNAPPYBEE örnekleri gibi kötü amaçlı araçları barındıran, açık dizin güvenlik açığına sahip bir C&C sunucusunu (23.81.41.166) ortaya çıkardı. (belirli bir kabuk kodu imzasıyla tanımlanır).
Saldırganlar, şifre çözme anahtarı gerektiren birinci aşama PowerShell betiği ve anahtar olarak bilgisayar adını kullanan ikinci aşama hizmet yükleyiciyi içeren sistemleri tehlikeye atmak için DEMODEX kök kitiyle birlikte bu araçları kullandı.
Her iki bileşen de gizleme için kontrol akışı düzleştirmeyi kullandı.
Trend Micro’daki araştırmacılar, SNAPPYBEE adlı bir arka kapının C&C altyapısını analiz etti ve UNC4841 ile bağlantılar buldu ancak bunları kesin olarak bağlayacak kanıtlara sahip değildi.
Saldırganlar, finansal belgeler ve hükümet bilgileri de dahil olmak üzere kurban verilerinin bir ABD STK’sından çalınması nedeniyle faaliyetlerini maskelemek için SoftEther VPN’i kullanırken, yanal hareket için LOLbin araçları kullanıldı.
Ayrı bir kampanyada, özel bir TLS korumalı protokol ve farklı işlevler için çeşitli modüller kullanan, gelişmiş, çok modüler bir arka kapı olan GHOSTSPIDER keşfedildi.
İletişim formatı bir bağlantı kimliğini, eylem kodlarını ve borularla ayrılmış verileri içerir; burada GHOSTSPIDER’ın modülerliği onu esnek ve analiz etmeyi zorlaştırır.
Earth Estries APT grubu, DEMODEX rootkit kurulum yöntemini değiştirdi; artık birinci aşama PowerShell betiği yerine şifrelenmiş yapılandırma ve kabuk kodu yükü içeren bir CAB dosyası kullanıyorlar; bu da ek bilgilerin kurulumdan sonra silinmesi nedeniyle analizi daha da zorlaştırıyor.
DEMODEX, GHOSTSPIDER, SparrowDoor ve CrowDoor gibi çeşitli arka kapılardan yararlanarak Güneydoğu Asya’daki Linux sunucularını hedeflemek için MASOL RAT kullanıyor ancak bazı arka kapıların atfedilmesi, paylaşılan C&C altyapısı nedeniyle belirsiz.
Saldırılarda SNAPPYBEE ve Cobalt Strike’tan da yararlanılan grubun TTP’leri, operasyonların farklı gruplar tarafından yürütülebileceğini gösteriyor.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.