Takma adı verilen bir bilgisayar korsanlığı kıyafeti Dünya Etrileri Filipinler, Tayvan, Malezya, Güney Afrika, Almanya ve ABD merkezli hükümet ve teknoloji endüstrilerini hedef alan yeni ve devam eden bir siber casusluk kampanyasına atfedildi
Trend Micro araştırmacıları Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang ve Gilbert Sison, “Earth Estries’in arkasındaki tehdit aktörleri, üst düzey kaynaklarla çalışıyor ve siber casusluk ve yasa dışı faaliyetlerde gelişmiş beceri ve deneyimle çalışıyor” dedi.
En az 2020’den bu yana aktif olan Earth Estries’in, FamousSparrow olarak takip edilen başka bir ulus devlet grubuyla taktiksel örtüşmeleri paylaştığı söyleniyor. Grubun konaklama, hükümet, mühendislik ve hukuk alanlarına sızmak için Microsoft Exchange Server’daki ProxyLogon kusurlarından yararlandığı ilk kez 2021’de ESET tarafından ortaya çıkarıldı. sektörler.
FamousSparrow ile Barracuda Networks Email Security Gateway (ESG) cihazlarında yakın zamanda açıklanan sıfır gün kusurunun silah haline getirilmesinden sorumlu tutulan kategorize edilmiş bir faaliyet kümesi olan UNC4841 arasında ortak noktaların da ortaya çıkarıldığını belirtmekte fayda var.
Trend Micro tarafından belgelenen saldırı zincirleri, düşmanın, güvenliği ihlal edilmiş ortamlardan yararlanma sonrası işlemleri yürütmek için Cobalt Strike’tan yararlandığını, ardından ek kötü amaçlı yazılım dağıtmak ve dayanağını genişletmek için hızlı bir şekilde hareket ettiğini gösteriyor.
Saldırganın, veri toplamayı geliştirmek için arka kapılar, tarayıcı veri çalıcıları ve bağlantı noktası tarayıcıları da dahil olmak üzere bir dizi arka kapı ve hackleme aracı kullandığı gözlemlendi.
Bu, sistem bilgilerini yakalamak, dosyaları numaralandırmak ve yönetmek ve isteğe bağlı komutları çalıştırmak için Go tabanlı bir implant olan Zingdoor’u kapsar; TrillClient, web tarayıcılarından verileri çekmeye git ile yazılmış özel bir hırsızdır; ve tuş vuruşlarını günlüğe kaydedebilen, ekran görüntüleri alabilen, dosya işlemlerini gerçekleştirebilen ve işlemleri izleyebilen bir arka kapı olan HemiGate.
Düşmanın casusluk amaçlarına daha fazla meşruiyet kazandıran şey, maruz kalma ve tespit edilme riskini azaltmak amacıyla, virüs bulaşmış ana bilgisayardaki arka kapılarını düzenli olarak temizleme ve yeniden yerleştirme eğilimidir.
Araştırmacılar, “Earth Estries, cephaneliğindeki çeşitli araçları yüklemek için büyük ölçüde DLL yan yüklemesine güveniyor” dedi. “Mümkün olduğunca az ayak izi bırakmak için, Windows Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü’nün (AMSI) günlük mekanizması tarafından algılanmayı önlemek amacıyla PowerShell sürüm düşürme saldırılarını kullanıyorlar.”
Modus operandi’nin bir diğer önemli yönü de Github, Gmail, AnonFiles ve File.io gibi kamu hizmetlerinin komutları ve çalınan verileri takas etmek veya aktarmak için kötüye kullanılmasıdır. Komuta ve kontrol (C2) sunucularının çoğunluğu ABD, Hindistan, Avustralya, Kanada, Çin, Japonya, Finlandiya, Güney Afrika ve Birleşik Krallık’ta bulunmaktadır.
Araştırmacılar, “Tehdit aktörleri, dahili sunuculardan ve geçerli hesaplardan ödün vererek kurbanın ağı içinde yanal hareketler gerçekleştirebilir ve kötü niyetli faaliyetlerini gizlice gerçekleştirebilir” dedi. “Ayrıca tespitten kaçınmak için PowerShell sürüm düşürme saldırıları ve yeni DLL yandan yükleme kombinasyonları gibi teknikleri de kullanıyorlar.”