0
0
Um ator de ameaça recentemente identificado está roubando discretamente informações de governos e organizações de tecnologia em todo o mundo.
A campanha em andamento é cortesia da “Earth Estries”. O grupo até então desconhecido existe pelo menos desde 2020, de acordo com um novo relatório da Trend Micro , e se sobrepõe até certo ponto a outro grupo de espionagem cibernética, o FamousSparrow . Embora os alvos tendam a vir dos mesmos setores, eles abrangem todo o mundo, dos EUA às Filipinas, Alemanha, Taiwan, Malásia e África do Sul.
Earth Estries tem uma tendência para usar o sideload de DLL para executar qualquer um de seus três malwares personalizados – dois backdoors e um infostealer – junto com outras ferramentas como Cobalt Strike. “Os atores de ameaças por trás do Earth Estries estão trabalhando com recursos de alto nível e funcionando com habilidades sofisticadas e experiência em espionagem cibernética e atividades ilícitas”, escreveram os pesquisadores da Trend Micro.
Conjunto de ferramentas do Earth Estries
Earth Estries possui três ferramentas exclusivas de malware: Zingdoor, TrillClient e HemiGate.
Zingdoor é um backdoor HTTP desenvolvido pela primeira vez em junho de 2022, implantado apenas em instâncias limitadas desde então. Ele está escrito em Golang (Go), proporcionando recursos de plataforma cruzada e repleto de UPX. Ele pode recuperar informações do sistema e dos serviços do Windows; enumerar, fazer upload ou download de arquivos; e execute comandos arbitrários em uma máquina host.
TrillClient é uma combinação de instalador e infostealer, também escrito em Go e empacotado em um arquivo de gabinete do Windows (.cab). O ladrão foi projetado para coletar credenciais do navegador, com a capacidade adicional de agir ou dormir sob comando, ou em intervalos aleatórios, com o objetivo de evitar a detecção. Junto com o Zingdoor, ele possui um ofuscador personalizado projetado para dificultar as ferramentas de análise.
A ferramenta mais multifacetada do grupo é o backdoor HemiGate. Este malware multifuncional de várias instâncias inclui recursos para keylogging, captura de capturas de tela, execução de comandos e monitoramento, adição, exclusão e edição de arquivos, diretórios e processos.
Métodos de Estries da Terra
Em abril, pesquisadores observaram Earth Estries usando contas comprometidas com privilégios administrativos para infectar servidores internos de uma organização; os meios pelos quais essas contas foram comprometidas são desconhecidos. Ele plantou o Cobalt Strike para estabelecer uma posição no sistema e, em seguida, usou o bloco de mensagens do servidor (SMB) e a linha de comando WMI para trazer seu próprio malware para o grupo.
Em seus métodos, Earth Estries dá a impressão de uma operação limpa e deliberada.
Por exemplo, para executar seu malware em uma máquina host, ele opta de forma confiável pelo método complicado de carregamento lateral de DLL . E, explicaram os pesquisadores, “os atores da ameaça limpavam regularmente seu backdoor existente após terminar cada rodada de operação e reimplantavam um novo malware quando iniciavam outra rodada. Acreditamos que eles fazem isso para reduzir o risco de exposição e detecção”.
O sideload de DLL e outra ferramenta que o grupo usa – Fastly CDN – são populares entre subgrupos APT41 como Earth Longzhi . A Trend Micro também encontrou sobreposições entre o backdoor loader do Earth Estries e o FamousSparrow. Ainda assim, a origem exata dos Estries da Terra não é clara. Também não ajuda o facto de a sua infra-estrutura C2 estar espalhada por cinco continentes, abrangendo todos os hemisférios da Terra: do Canadá à Austrália, da Finlândia ao Laos, com a maior concentração nos EUA e na Índia.
Os investigadores poderão aprender mais sobre o grupo em breve, uma vez que a sua campanha contra organizações governamentais e tecnológicas em todo o mundo continua até hoje.
FONTE: DARKREADING