Earth Estries的间谍活动针对各大洲的政府和科技巨头

一个绰号为Earth Estries的黑客组织被认为是针对菲律宾、台湾、马来西亚、南非、德国和美国的政府和科技行业发起的一项新的、持续的网络间谍活动。

趋势科技研究人员 Ted Lee、Lenart Bermejo、Hara Hiroaki、Leon M Chang 和 Gilbert Sison 表示：“Earth Estries 背后的威胁行为者正在利用高级资源，在网络间谍和非法活动方面拥有先进的技能和经验。 ”

据称，Earth Estries 至少从 2020 年开始活跃，与另一个名为FamousSparrow的民族国家组织在战术上有重叠，该组织于 2021 年首次被 ESET 曝光，利用 Microsoft Exchange Server 中的 ProxyLogon 缺陷渗透酒店、政府、工程和法律部门。部门。

值得指出的是，FamousSparrow 和UNC4841之间也发现了共同点，UNC4841 是一个未分类的活动集群，负责将Barracuda Networks 电子邮件安全网关 (ESG) 设备中最近披露的零日漏洞武器化。

趋势科技记录的攻击链显示，对手正在利用 Cobalt Strike 对受感染的环境进行后利用，随后迅速部署更多恶意软件并扩大立足点。

据观察，对手使用了一系列后门和黑客工具，包括后门、浏览器数据窃取程序和端口扫描仪来增强数据收集。

这包括PlugX；Zingdoor，一个基于 Go 的植入程序，用于捕获系统信息、枚举和管理文件以及运行任意命令；TrillClient，一个用 Go 编写的自定义窃取程序，用于从网络浏览器中窃取数据；HemiGate，一个可以记录击键、截取屏幕截图、执行文件操作和监控进程的后门。

进一步为对手的间谍动机提供合法性的是，其倾向于定期清理并在受感染的主机上重新部署其后门，以试图降低暴露和检测的风险。

研究人员表示：“Earth Estries 严重依赖DLL 侧面加载来加载其武器库中的各种工具。” “为了尽可能减少足迹，他们使用 PowerShell 降级攻击来避免 Windows 反恶意软件扫描接口 (AMSI) 日志记录机制的检测。”

该作案手法的另一个重要方面是滥用 Github、Gmail、AnonFiles 和 File.io 等公共服务来交换或传输命令和被盗数据。大多数命令与控制 (C2) 服务器位于美国、印度、澳大利亚、加拿大、中国、日本、芬兰、南非和英国

研究人员表示：“通过破坏内部服务器和有效帐户，威胁行为者可以在受害者网络内进行横向移动，并秘密地进行恶意活动。” “他们还使用 PowerShell 降级攻击和新颖的 DLL 侧面加载组合等技术来逃避检测。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7871.html