banner
Nachrichtenzentrum
Wir verfügen über eine Reihe hochwertiger Produkte und Dienstleistungen, die jeden Ihrer Anforderungen erfüllen.

Earth Estries nimmt Regierung und Technologie wegen Cyberspionage ins Visier

Jul 08, 2023

Wir entschlüsseln eine neue Cyberspionagekampagne einer Cyberkriminellengruppe namens Earth Estries. Bei der Analyse der eingesetzten Taktiken, Techniken und Verfahren (TTPs) stellten wir Überschneidungen mit der Advanced Persistent Threat (APT)-Gruppe FamousSparrow fest, da Earth Estries Regierungen und Organisationen im Technologiesektor ins Visier nimmt.

Von: Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang, Gilbert Sison 30. August 2023 Lesezeit: (Wörter)

Im Folio speichern

Anfang des Jahres entdeckten wir eine neue Cyberspionagekampagne einer Hackergruppe namens Earth Estries. Basierend auf unseren Beobachtungen ist Earth Estries seit mindestens 2020 aktiv. Wir haben auch einige Überschneidungen zwischen den von Earth Estries verwendeten Taktiken, Techniken und Verfahren (TTPs) und denen einer anderen Advanced Persistent Threat (APT)-Gruppe, FamousSparrow, festgestellt.

Aus einem allgemeinen Überblick über die in dieser laufenden Kampagne verwendeten Tools und Techniken gehen wir davon aus, dass die Bedrohungsakteure hinter Earth Estries mit hochrangigen Ressourcen arbeiten und über hochentwickelte Fähigkeiten und Erfahrung in Cyberspionage und illegalen Aktivitäten verfügen. Die Bedrohungsakteure nutzen außerdem mehrere Hintertüren und Hacking-Tools, um Einbruchsvektoren zu verbessern. Um so wenig Fußabdruck wie möglich zu hinterlassen, verwenden sie PowerShell-Downgrade-Angriffe, um eine Erkennung durch den Protokollierungsmechanismus der Windows Antimalware Scan Interface (AMSI) zu vermeiden. Darüber hinaus missbrauchen die Akteure öffentliche Dienste wie Github, Gmail, AnonFiles und File.io, um Befehle und gestohlene Daten auszutauschen oder zu übertragen.

Diese aktive Kampagne richtet sich an Organisationen in der Regierungs- und Technologiebranche mit Sitz auf den Philippinen, Taiwan, Malaysia, Südafrika, Deutschland und den USA. Wir erläutern unsere Ergebnisse und technischen Analysen in diesem Eintrag, um Sicherheitsteams und Organisationen dabei zu helfen, den Status ihrer jeweiligen digitalen Assets zu überprüfen und ihre bestehenden Sicherheitskonfigurationen zu verbessern.

Infektionsvektor

Wir haben festgestellt, dass Earth Estries bestehende Konten mit Administratorrechten kompromittiert hat, nachdem es einen der internen Server der Organisation erfolgreich infiziert hatte. Durch die Installation von Cobalt Strike auf dem System konnten die Akteure hinter Earth Estries mehr Malware einsetzen und laterale Bewegungen durchführen. Über den Server Message Block (SMB) und die WMI-Befehlszeile (WMIC) verbreiteten die Bedrohungsakteure Hintertüren und Hacking-Tools auf anderen Maschinen in der Umgebung des Opfers. Am Ende jeder Operationsrunde in einer Reihe von Bereitstellungen archivierten sie die gesammelten Daten in einem angegebenen Ordner. Unseren Stichproben und Analysen zufolge zielten die Bedrohungsakteure auf PDF- und DDF-Dateien ab, die die Akteure mithilfe von curl.exe in die Online-Speicher-Repositorys AnonFiles oder File.io hochluden.

Wir haben außerdem festgestellt, dass die Bedrohungsakteure nach Abschluss jeder Operationsrunde regelmäßig ihre bestehende Hintertür säuberten und zu Beginn einer weiteren Runde eine neue Malware einsetzten. Wir glauben, dass sie dies tun, um das Risiko einer Exposition und Entdeckung zu verringern.

Backdoor- und Hacking-Tools

Wir haben beobachtet, wie die Bedrohungsakteure in dieser Kampagne verschiedene Tools verwendeten, darunter unter anderem Informationsdiebstahler, Browserdatendiebstahler und Portscanner. In diesem Abschnitt konzentrieren wir uns auf neu entdeckte und bemerkenswerte Toolsets und diskutieren deren technische Details.

Zingdoor

Zingdoor ist eine neue, in Go geschriebene HTTP-Hintertür. Während wir Zingdoor zum ersten Mal im April 2023 begegneten, deuten einige Protokolle darauf hin, dass die ersten Entwicklungen dieser Hintertür im Juni 2022 stattfanden. In freier Wildbahn wurde sie jedoch selten gesichtet und wahrscheinlich nur bei einer begrenzten Anzahl von Opfern beim Einsatz beobachtet als neu gestaltete Hintertür mit plattformübergreifenden Funktionen. Zingdoor wird mit UPX gepackt und durch eine benutzerdefinierte Obfuscator-Engine stark verschleiert.

Wir haben festgestellt, dass Zingdoor Anti-UPX-Entpacktechniken verwendet. Im Allgemeinen ist die magische Nummer von UPX „UPX!“, aber in diesem Fall wurde sie in „MSE!“ geändert und die UPX-Anwendung kann diese geänderte Datei nicht entpacken. Diese Technik ist bei Malware-Arten des Internets der Dinge (IoT) einfach, wird jedoch bei APT-Aktivitäten als selten angesehen.

Zingdoor wurde als mpclient.dll getarnt und für die Ausführung per DLL-Sideloading konzipiert, indem es die Windows Defender-Binärdatei MsSecEs.exe missbrauchte. Beim Ausführen der ausführbaren Datei registriert Zingdoor den aktuellen übergeordneten Prozess als Windows-Dienst mit dem Namen „MsSecEsSvc“ zur Persistenz und startet ihn. Als Dienstprozess stellt Zingdoor eine Verbindung her und wartet auf einen Befehl vom Command-and-Control-Server (C&C). Basierend auf den in der Hintertür definierten Funktionen unterstützt es die folgenden Funktionen:

TrillClient

Das TrillClient-Toolset ist ein Informationsdiebstahlprogramm zum Diebstahl von Browserdaten. Es ist in einer einzigen CAB-Datei (.cab) verpackt und wird über das Dienstprogramm expand.exe extrahiert. Die CAB-Datei enthält ein TrillClient-Installationsprogramm und einen Stealer. Basierend auf verschiedenen Argumenten führt das Installationsprogramm die folgenden Verhaltensweisen aus:

Da es sich bei TrillClient um einen benutzerdefinierten Browser-Datendiebstahler handelt, der in Go geschrieben wurde, wird er durch einen benutzerdefinierten Obfuscator zur Antianalyse stark verschleiert. Nach dem Start sucht es nach der vom Installationsprogramm erstellten Opferliste 7C809B4866086EF7FB1AB722F94DF5AF493B80DB. Anschließend stellt es eine Verbindung zu einem GitHub-Repository her, um den Befehl für die nächsten Aktionen abzurufen. Die Repository-Adresse ist in der Malware wie folgt fest codiert: hxxps://raw[.]githubusercontent[.]com/trillgb/codebox/main/config.json.

Value.name ist die Opfer-ID, während value.value ein Befehl ist. Nach Erhalt dieser Konfiguration sucht TrillClient in der Liste „value.name“ nach seiner eigenen Opfer-ID und führt bösartige Aktivitäten basierend auf dem durch value.value definierten Befehl aus. TrillClient unterstützt die folgenden Befehle:

TrillClient stiehlt die sensiblen Daten in den folgenden Verzeichnissen:

Die gesammelten Daten werden vorübergehend nach <%TEMP%\browser_temp_data> kopiert, mit dem Befehl .tar archiviert und mit einem XOR-Algorithmus verschlüsselt. Anschließend werden die gesammelten Daten über SMTP (Simple Mail Transfer Protocol) an das E-Mail-Konto des Bedrohungsakteurs trillgamby@gmail[.]com gesendet. Eine weitere bemerkenswerte Funktion von TrillClient ist die Möglichkeit, seine Version zu aktualisieren. Da der in der heruntergeladenen Konfiguration definierte Wert von „version“ neuer als die aktuelle Versionsnummer ist, lädt es die neuere aus dem GitHub-Repository herunter und aktualisiert sich selbst.

HemiGate

HemiGate ist eine von Earth Estries verwendete Hintertür. Wie die meisten von diesem Bedrohungsakteur verwendeten Tools wird auch diese Hintertür über DLL-Sideloading mit einem der Loader ausgeführt, die austauschbare Payloads unterstützen. K7AVMScn.exe von K7 Computing ist der Sideloading-Host, der von dieser Hintertür verwendet wird, während der Loader sich als K7AVWScn.dll ausgibt. Die wichtigste Hintertür ist eine verschlüsselte Datei namens taskhask.doc, und eine weitere verschlüsselte Datei namens taskhask.dat dient als Konfigurationsdatei.

HemiGate kommuniziert über Port 443 mit seinem C&C-Server und stellt eine Verbindung über einen Proxy her, wenn die Umgebung dies erfordert. Der C&C-Server wird aus der Konfigurationsdatei abgerufen, die hauptsächlich C&C-Server- und Portkombinationen enthält. Die Konfigurationsdatei wird mittels RC4-Verschlüsselung mit dem Schlüssel 4376dsygdYTFde3 entschlüsselt. Dieser RC4-Schlüssel wird auch für andere Verschlüsselungs-/Entschlüsselungsfunktionen verwendet, die die Hintertür in den meisten ihrer Routinen ausführt. Die Kommunikation mit dem Server erfolgt über die POST-Methode unter Verwendung des folgenden vordefinierten Headers:

HemiGate wird in drei Instanzen ausgeführt:

Die Keylogger-Funktion nutzt ein nicht interaktives statisches Kontrollfenster, indem ein Fenster mit einer vordefinierten „statischen“ Klasse erstellt wird. Anschließend wird neben einem Tastatur-Hook eine Timer-Funktion verwendet, um die Tastenanschläge in einem aktiven Fenster kontinuierlich zu protokollieren, solange das Fenster aktiv bleibt. Der Tastendruck wird mit folgender Struktur protokolliert:

Neben dem Keylogger stehen auch folgende Funktionen zur Verfügung:

Starker Einsatz von DLL-Sideloading

Wir haben festgestellt, dass Earth Estries stark auf DLL-Sideloading angewiesen ist, um verschiedene Tools in seinem Arsenal zu laden. Abgesehen von den zuvor erwähnten Hintertüren nutzt dieses Intrusion-Set auch häufig verwendete Fernsteuerungstools wie Cobalt Strike, PlugX oder Meterpreter Stager, abwechselnd in verschiedenen Angriffsphasen. Diese Tools werden als verschlüsselte Payloads geliefert, die von benutzerdefinierten Loader-DLLs geladen werden.

Ein bemerkenswertes Merkmal der verwendeten Lader ist, dass der Entschlüsselungsschlüssel in der verschlüsselten Nutzlast enthalten ist. Wir haben festgestellt, dass dieser Eindringungssatz dieselbe Loader-Datei verwendet, während er eine andere Nutzlast in derselben Zielumgebung lädt.

Während unserer Untersuchung haben wir mehrere von Earth Estries verwendete Sideloading-Kombinationen kennengelernt und diese in der folgenden Tabelle aufgelistet:

Im Großen und Ganzen richten sich die von uns beobachteten DLL-Sideloading-Angriffe gegen ältere Versionen legitimer Dateien, von denen einige sogar ein Jahrzehnt alt sind, mit dem Ziel, sie in LOLBins zu konvertieren. Angreifer nutzen diese opportunistische Taktik in der Hoffnung, von Sicherheitsprodukten ignoriert zu werden. Aufgrund dieser Situation ist es umso wichtiger, Versionskontrollen und Anwendungsbaselines zu implementieren, um Anomalien zu erkennen und zu verhindern, dass Angreifer in der Unternehmensumgebung Fuß fassen.

C&C-Serverinfrastruktur

Wir haben festgestellt, dass einige der von Earth Estries verwendeten Cobalt Strike-Implantate den CDN-Dienst Fastly nutzten, um die tatsächliche IP-Adresse zu verbergen. Wir haben auch zuvor die Verwendung von Fastly CDN in anderen Kampagnen durch einige APT41-bezogene Gruppen wie Earth Longzhi und GroupCC beobachtet.

Bei der Untersuchung der C&C-Aktivitäten anderer Earth Estries, die aus der Umgebung ihrer Opfer beobachtet wurden, entdeckten wir einige bemerkenswerte Daten in den Informationen des Registranten wie folgt:

Die in Tabelle 4 beobachteten Bereiche wurden anhand realer Vorfälle beobachtet. Laut öffentlichen Repositories teilen diese C&C-Domänen dieselben Registranteninformationen. Wir schließen daraus, dass die Domains Präferenzen haben, wenn es um Registranteninformationen geht. Darüber hinaus haben diese Domains ähnliche C&C-Adressformate, von denen wir einige bei der Verfolgung ihres Betriebs beobachtet haben. Während unsere Untersuchung noch andauert, um festzustellen, ob diese Domänen und Registrantendaten mit den Bedrohungsakteuren in Zusammenhang stehen, wissen wir, dass diese Informationen verwendet werden können, um andere verwandte C&C-Domänen zu steuern, die wahrscheinlich von derselben Gruppe verwendet werden.

Basierend auf den Informationen des Registranten haben wir weitere Datensätze der alten Domain gefunden, die von den Bedrohungsakteuren registriert wurden.

Bei der Überprüfung aller Domänen stellten wir fest, dass smartlinkcorp[.]net die meisten Informationen aus öffentlichen Repositories und der Threat-Intelligence-Community lieferte. Beim Durchsuchen der Domain entdeckten wir einen Eintrag einer verwandten Subdomain, „ns2.smartlinkcorp[.]net“. Darüber hinaus wurde Cobalt Strike einst auf ns2.smartlinkcor[.]net mit dem Wasserzeichen 2029527128 gehostet. Anhand des Wasserzeichens haben wir weitere verwandte Domänen und IP-Einträge gefunden.

Aus diesen Cobalt Strike-Aufzeichnungen sind uns zwei neue Domänen aufgefallen, digitelela[.]com und z7-tech[.]com, die wir bei unseren ersten Untersuchungen nicht beobachtet haben. Basierend auf den Informationen des Registranten haben wir dann einen anderen Domänensatz gefunden, der möglicherweise von den Bedrohungsakteuren verwendet wurde.

Wie bei den in Tabelle 4 aufgeführten Domain-Sets gibt es mehrere gemeinsame Informationen, wie z. B. die Länderregistrierung, die unter diesen Domains und Subdomains abgeleitet wird. Konkret folgen die Domänen einem ns{number}.{domain}-Format und sind für einen Cobalt Strike-Beacon konzipiert, um Befehle über DNS-Tunneling zu senden und zu empfangen.

Bei der Analyse der vorherigen C&C-Domänen und der aufgelösten IP-Adressen haben wir festgestellt, dass ihre C&C-Server auf VPS-Diensten (Virtual Private Server) in verschiedenen Ländern gehostet werden. Die Verteilung der C&C-Server fassen wir hier zusammen:

Viktimologie

Basierend auf unserer Untersuchung konzentriert Earth Estries seine Angriffsziele und Angriffsversuche auf regierungsnahe Organisationen und Technologieunternehmen in den Philippinen, Taiwan, Malaysia, Südafrika, Deutschland und den USA. Wir haben auch den Netzwerkverkehr zu C&C-Servern in Kanada und das Auftreten von Toolset-Erkennungen in Indien und Singapur beobachtet, was diese Regionen potenziell stark betroffen macht. Organisationen in den identifizierten Ländern sollten nicht nur ihre Systeme auf mögliche Einbrüche und unbefugten Datenaustausch überprüfen, sondern auch ihre bestehenden Sicherheitsmaßnahmen verstärken.

Namensnennung

Bei der Verfolgung der Kampagne ist uns aufgefallen, dass die Bedrohungsakteure „Ping“ verwenden, um zu testen, ob ein Remote-Server verfügbar ist, bevor sie darauf zugreifen. Abbildung 10 zeigt einen der von Earth Estries durchgeführten Tests. Gleichzeitig ergab unser Tracking, dass die Bedrohungsakteure versuchten herauszufinden, ob der Remote-Server mit der IP-Adresse 103.133.137[.]157 verfügbar ist.

Darüber hinaus verwendete Earth Estries einige Tools und TTPs, die sich mit FamousSparrow überschneiden. Wir haben den in dieser Kampagne verwendeten Backdoor-Loader mit dem im vorherigen Bericht erwähnten Loader verglichen. Was TTPs betrifft, verwendet Earth Estries in der Regel auch .CAB-Dateien, um seine Malware und sein Toolset in der Umgebung des Opfers bereitzustellen, was die von uns gefundene Nachverfolgung und die ersten für die Angriffe verantwortlichen Länderberichte verstärkte.

Abschluss

Earth Estries ist eine hochentwickelte Hackergruppe, die seit mindestens 2020 aktiv ist und sich auf die Durchführung von Cyberspionagekampagnen konzentriert. Es zielt auf Regierungs- und Technologieorganisationen in verschiedenen Ländern ab und ist in der Lage, fortschrittliche Techniken wie den Einsatz mehrerer Hintertüren und Hacking-Tools zu implementieren, um Zugang zu seinen Zielen zu erhalten.

Durch die Kompromittierung interner Server und gültiger Konten können die Bedrohungsakteure laterale Bewegungen innerhalb des Netzwerks des Opfers durchführen und ihre böswilligen Aktivitäten verdeckt ausführen. Der Einsatz von Zingdoor als Teil der Routine, um sicherzustellen, dass die Hintertür nicht einfach entpackt werden kann, stellt Analysten und Sicherheitsteams vor zusätzliche Herausforderungen und erschwert die Analyse. Sie nutzen auch Techniken wie PowerShell-Downgrade-Angriffe und neuartige DLL-Sideloading-Kombinationen, um einer Erkennung zu entgehen. Darüber hinaus deuten die Codeähnlichkeiten und TTPs zwischen Earth Estries und FamousSparrow auf eine mögliche Verbindung zwischen ihnen hin. Andere Beweise, wie z. B. verfolgte IP-Adressen und allgemeine technische Formatierungsthemen, die bei ihrem Betrieb beobachtet wurden, weisen auf starke Zusammenhänge hin, die weiter untersucht und analysiert werden können.

Das Verständnis der von Earth Estries verwendeten Methoden kann Organisationen dabei helfen, ihre Sicherheitsmaßnahmen zu verbessern und ihre digitalen Vermögenswerte zu schützen. Für Einzelpersonen und Unternehmen ist es wichtig, wachsam zu bleiben und die notwendigen Maßnahmen zu ergreifen, um ihre Cybersicherheit zu verbessern und sich vor solchen Cyberspionagekampagnen zu schützen. Trend Vision One™ bietet Sicherheitsteams und Analysten die Möglichkeit, alle einzelnen Komponenten der Organisation von einer einzigen Plattform aus zu visualisieren, um die Tools, Verhaltensweisen und Nutzlasten zu überwachen und zu verfolgen, während die Routine versucht, sich in den Netzwerken, Systemen und der Infrastruktur der Organisation zu bewegen und auszuführen Gleichzeitig werden Bedrohungen so weit wie möglich außerhalb der Angriffs- oder Infektionsroutine erkannt und blockiert.

MITRE ATT&CK

Kompromissindikatoren (IOCs)

Laden Sie hier die Liste der IOCs herunter.

Ted Lee

Bedrohungsforscher

Lenart Bermejo

Bedrohungsanalyst

Hara Hiroaki

Spezialist für Kundentechnologie

Leon M Chang

Leitender Bedrohungsforscher

Gilbert Sison

Bedrohungsanalyst