Earth Estries olarak bilinen Çin bağlantılı tehdit aktörünün, Güneydoğu Asya telekomünikasyon şirketlerini hedef alan saldırılarının bir parçası olarak daha önce belgelenmemiş GHOSTSPIDER adlı bir arka kapıyı kullandığı gözlemlendi.
Hacking grubunu agresif gelişmiş kalıcı tehdit (APT) olarak tanımlayan Trend Micro, izinsiz girişlerin aynı zamanda Güneydoğu Asya hükümet ağlarına ait Linux sistemlerinde MASOL RAT (diğer adıyla Backdr-NQ) adlı başka bir platformlar arası arka kapının kullanımını da içerdiğini söyledi.
Toplamda, Earth Estries’in telekomünikasyon, teknoloji, danışmanlık, kimya ve ulaştırma endüstrileri, devlet kurumları ve kar amacı gütmeyen kuruluş (STK) sektörlerini kapsayan 20’den fazla kuruluştan başarıyla ödün verdiği tahmin ediliyor.
Aralarında Afganistan, Brezilya, Esvatini, Hindistan, Endonezya, Malezya, Pakistan, Filipinler, Güney Afrika, Tayvan, Tayland, ABD ve Vietnam’ın da bulunduğu bir düzineden fazla ülkede kurbanlar belirlendi.
Earth Estries paylaşımları, FamousSparrow, GhostEmperor, Salt Typhoon ve UNC2286 adları altında diğer siber güvenlik satıcıları tarafından takip edilen kümelerle örtüşüyor. En az 2020’den beri aktif olduğu ve ABD, Asya-Pasifik bölgesi, Orta Doğu ve Güney Afrika’daki telekomünikasyon ve devlet kurumlarına sızmak için çok çeşitli kötü amaçlı yazılım ailelerinden yararlandığı söyleniyor.
The Washington Post’un geçen haftaki bir raporuna göre, hack grubunun yalnızca ABD’de bir düzineden fazla telekom şirketine sızdığına inanılıyor. ABD hükümeti tarafından 150 kadar kurban tespit edildi ve bilgilendirildi.
 |
| DEMODEX rootkit’in enfeksiyon zinciri |
Kötü amaçlı yazılım portföyündeki dikkate değer araçlardan bazıları arasında Demodex rootkit ve birçok Çinli APT grubu tarafından yaygın olarak kullanılan ShadowPad’in şüpheli halefi olan Deed RAT (diğer adıyla SNAPPYBEE) yer alıyor. Ayrıca tehdit aktörlerinin arka kapıları ve Crowdoor, SparrowDoor, HemiGate, TrillClient ve Zingdoor gibi bilgi hırsızları tarafından da kullanılıyor.
Hedef ağlara ilk erişim, Ivanti Connect Secure (CVE-2023-46805 ve CVE-2024-21887), Fortinet FortiClient EMS (CVE-2023-48788), Sophos Güvenlik Duvarı’ndaki (CVE-2023-48788) N günlük güvenlik açıklarından yararlanılarak kolaylaştırılmıştır. 2022-3236), Microsoft Exchange Sunucusu (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065, diğer adıyla ProxyLogon).
 |
| GHOSTSPIDER enfeksiyon akışı |
Saldırılar daha sonra uzun vadeli siber casusluk faaliyetlerini yürütmek için Deed RAT, Demodex ve GHOSTSPIDER gibi özel kötü amaçlı yazılımların konuşlandırılmasının yolunu açıyor.
Güvenlik araştırmacıları Leon M Chang, Theo Chen, Lenart Bermejo ve Ted Lee, “Earth Estries açık bir işbölümüne sahip iyi organize edilmiş bir gruptur” dedi. “Birden fazla kampanyadan elde edilen gözlemlere dayanarak, farklı bölgeleri ve endüstrileri hedef alan saldırıların farklı aktörler tarafından başlatıldığını tahmin ediyoruz.”
“Buna ek olarak, [command-and-control] Çeşitli arka kapılar tarafından kullanılan altyapının farklı altyapı ekipleri tarafından yönetildiği görülüyor, bu da grubun operasyonlarının karmaşıklığını daha da vurguluyor.”
Gelişmiş ve çok modüler bir implant olan GHOSTSPIDER, Aktarım Katmanı Güvenliği (TLS) tarafından korunan özel bir protokolü kullanarak saldırgan tarafından kontrol edilen altyapıyla iletişim kurar ve gerektiğinde işlevselliğini tamamlayabilecek ek modüller getirir.
Trend Micro, “Earth Estries uç cihazlardan başlayıp bulut ortamlarına kadar uzanan gizli saldırılar gerçekleştirerek tespit edilmesini zorlaştırıyor” dedi.
“Siber casusluk faaliyetlerini etkili bir şekilde gizleyen operasyonel ağlar kurmak için çeşitli yöntemler kullanıyorlar ve hassas hedeflere sızma ve bunları izleme yaklaşımlarında yüksek düzeyde karmaşıklık sergiliyorlar.”
Telekomünikasyon şirketleri son yıllarda Granite Typhoon ve Liminal Panda gibi Çin bağlantılı birçok tehdit grubunun hedefinde yer alıyor.
Siber güvenlik firması CrowdStrike, The Hacker News’e, saldırıların Çin’in siber programında önemli bir olgunlaşmanın altını çizdiğini; bu programın izole saldırılardan toplu veri toplamaya ve Yönetilen Hizmet Sağlayıcıları (MSP’ler), İnternet Servis Sağlayıcılarını (ISP’ler) uzun vadeli hedeflemeye geçtiğini vurguladı. ve platform sağlayıcıları.