Nhóm APT Earth Estries đang thực hiện một chiến dịch gián điệp mạng nhằm vào chính phủ và các công ty công nghệ lớn tại nhiều quốc gia và vùng lãnh thổ như: Philippines, Đài Loan, Malaysia, Nam Phi, Đức và Mỹ.
Nhóm Earth Estrie bắt đầu hoạt động kể từ năm 2020 và sử dụng chiến thuật tấn công tương tự với nhóm FamousSparrow. Nhóm FamousSparrow đã bị phát hiện bởi ESET vào năm 2021 khi họ khai thác lỗ hổng ProxyLogon trên Microsoft Exchange Server để xâm nhập vào chính phủ, các ngành dịch vụ khách sạn, kỹ sư và pháp lý.
Đáng chú ý là những điểm tương đồng này cũng đã được phát hiện giữa FamousSparrow và UNC4841, một nhóm tấn công chưa được xác định, hiện đang khai thác lỗ hổng zero-day trong các thiết bị Barracuda Networks Email Security Gateway (ESG).
Ảnh minh họa |
Theo các chuyên gia bảo mật, nhóm Earth Estries sử dụng Cobalt Strike để tiến hành các tác vụ sau khi xâm nhập thành công vào môi trường hệ thống, sau đó tiến hành triển khai thêm mã độc và mở rộng phạm vi xâm nhập trong hệ thống mạng.
Nhóm tấn công được ghi nhận đang triển khai một số backdoor và công cụ tấn công ba gồm cả bộ đánh cắp dữ liệu trình duyệt và các công cụ quét cổng nhằm nâng cao khả năng thu thập dữ liệu trong chiến dịch. Một trong số công cụ gồm có:
• PlugX;
• Zingdoor: Một mã độc dựa trên Go nhằm thu thập thông tin hệ thống, liệt kê và quản lý các file; thực thi câu lệnh từ xa;
• TrillClient: Một công cụ đánh cắp dữ liệu viết bằng Go và có nhiệm vụ thu thập dữ liệu từ trình duyệt;
• HemiGate: Đây là một backdoor có khả năng lưu trữ dữ liệu được nhập từ bàn phím, chụp màn hình, thực hiện và theo dõi quá trình các tác vụ trên file.
Nhóm tấn công đã xâm nhập vào các máy chủ nội bộ và sử dụng tài khoản hợp lệ trong hệ thống để tiến hành di chuyển trong mạng của mục tiêu, từ đó thực hiện các hành động độc hại một cách lén lút.
Để tránh bị phát hiện, Earth Estries thường xuyên cài đặt lại các backdoor trên các thiết bị đã bị nhiễm mã độc. Đây là một minh chứng cho động cơ gián điệp của Earth Estries. Dựa trên phân tích của các chuyên gia bảo mật, nhóm Earth Estries phụ thuộc phần lớn vào DLL side-loading để tải các công cụ và tránh để lại dấu vết.
Nhóm này cũng sử dụng tấn công PowerShell hạ cấp để tránh bị phát hiện bởi cơ chế ghi log của Windows Antimalware Scan Interface (AMSI).
Một điều đáng chú ý khác trong quá trình hoạt động của nhóm tấn công này là việc lợi dụng các dịch vụ công cộng như Github, Gmail, AnonFiles và File.io để trao đổi hoặc truyền câu lệnh và dữ liệu đã bị đánh cắp. Phần lớn máy chủ C&C của nhóm tấn công được đặt tại Mỹ, Ấn Độ, Úc, Canada, Trung Quốc, Nhật Bản, Phần Lan, Nam Phi và Anh.