Earth Estries lopakodó támadása
A Trend Micro elemzése szerint az Earth Estries (Salt Typhoon, FamousSparrow, GhostEmperor és UNC2286) az egyik legagresszívebb kínai APT csoport, amely már 2020 óta aktív. Az Earth Esties 2020 óta hajt végre hosszan tartó támadásokat kormányok és internetszolgáltatók ellen. TTP-k közé tartozik az ismert sebezhetőségek kihasználása és a széles körben elérhető megosztott eszközök, például a Snappybee használata. Az Earth Estries lopakodó támadásokat hajt végre, amelyek a peremhálózati eszközökről indulnak ki, majd kiterjednek a felhőkörnyezetekre is, ezzel megnehezítve a felderítést. Különféle módszereket alkalmaznak operatív hálózatok létrehozására, amelyek hatékonyan rejtik el kiberkémkedési tevékenységeiket, ami magas szintű kifinomultságot mutat a kényes célpontokba való behatolás és azok megfigyelése terén.
Fő célpontjai a kormányzati és technológiai szektorban tevékenykedő szervezetek, különösen a Fülöp-szigeteken, Tajvanon, Malajziában, Dél-Afrikában, Németországban és az Egyesült Államokban.
Az Earth Estries gyakran kihasználja a Microsoft Exchange szerverek és hálózati adapterkezelő eszközök sebezhetőségeit, hogy bejuthasson a célzott rendszerekbe. A támadók a PsExec és a WMI parancssori eszközöket használják a hálózaton belüli terjedéshez, valamint különböző hátsó ajtókat és eszközöket, mint például a Cobalt Strike, a TrillClient, a HemiGate és a Crowdoor, amelyeket CAB fájlokban terjesztenek. A TrillClient segítségével böngészőadatokat lopnak, míg a cURL eszközt használják az információk anonim fájlmegosztó szolgáltatásokra történő feltöltésére, proxyk alkalmazásával rejtve a hátsó ajtó forgalmát.
A használt fő eszköz egy Go nyelven írt HTTP hátsó ajtó, a Ghostspider, amelyet először 2023 áprilisában észleltek. UPX-szel van csomagolva és egyedi obfuszkációs technikákat alkalmaz a felismerés elkerülése érdekében.Egy másik hátsó ajtó, a HemiGate, amelyet az Earth Estries használ a célzott rendszerekhez való hozzáférés fenntartására.
A Trend Micro megosztotta az azonosításhoz szükséges Yara szabályokat és mutatókat.