Yeni tanımlanan bir tehdit aktörü, dünya genelindeki hükümetlerden ve teknoloji kuruluşlarından sessizce bilgi çalıyor.
Devam eden kampanya “Earth Estries”in izniyle geliyor. Daha önce bilinmeyen grup en az 2020’den beri varlığını sürdürüyor. Trend Micro’dan yeni raporve bir dereceye kadar başka bir siber casusluk ekibi olan FamousSparrow ile örtüşüyor. Hedefler genellikle aynı sektörlerden gelse de ABD’den Filipinler’e, Almanya’ya, Tayvan’a, Malezya’ya ve Güney Afrika’ya kadar tüm dünyayı kapsıyor.
Earth Estries, Cobalt Strike gibi diğer araçlarla birlikte, iki arka kapı ve bir bilgi hırsızı olmak üzere üç özel kötü amaçlı yazılımdan herhangi birini çalıştırmak için DLL yan yüklemesini kullanma konusunda bir tutkuya sahip. Trend Micro araştırmacıları, “Earth Estries’in arkasındaki tehdit aktörleri, üst düzey kaynaklarla çalışıyor ve siber casusluk ve yasa dışı faaliyetlerde gelişmiş beceri ve deneyimle çalışıyor” diye yazdı.
Earth Estries’in Araç Seti
Earth Estries üç benzersiz kötü amaçlı yazılım aracına sahiptir: Zingdoor, TrillClient ve HemiGate.
Zingdoor, ilk olarak Haziran 2022’de geliştirilen ve o zamandan beri yalnızca sınırlı örneklerde kullanılan bir HTTP arka kapısıdır. Golang (Go) dilinde yazılmıştır, platformlar arası yeteneklere sahiptir ve UPX ile donatılmıştır. Sistem ve Windows hizmetleri bilgilerini alabilir; dosyaları numaralandırmak, yüklemek veya indirmek; ve bir ana makinede rastgele komutlar çalıştırın.
TrillClient, yine Go’da yazılmış ve bir Windows dolap dosyasında (.cab) paketlenmiş bir yükleyici ve bilgi hırsızı birleşimidir. Çalıcı, tespit edilmekten kaçınmak amacıyla, komutla veya rastgele aralıklarla hareket etme veya uyku moduna geçme yeteneğiyle birlikte tarayıcı kimlik bilgilerini toplamak üzere tasarlanmıştır. Zingdoor ile birlikte, analiz araçlarını güdüklemek için tasarlanmış özel bir gizleme aracına sahiptir.
Grubun en çok yönlü aracı arka kapı HemiGate’dir. Bu çok örnekli, hepsi bir arada kötü amaçlı yazılım, tuş günlüğü tutma, ekran görüntüleri yakalama, komutları çalıştırma ve dosya, dizin ve işlemleri izleme, ekleme, silme ve düzenleme özelliklerini içerir.
Earth Estries’in Yöntemleri
Nisan ayında araştırmacılar, Earth Estries’in bir kuruluşun dahili sunucularına virüs bulaştırmak için yönetici ayrıcalıklarına sahip ele geçirilmiş hesapları kullandığını gözlemledi; bu hesapların hangi yollarla ele geçirildiği bilinmiyor. Sistemde bir yer edinmek için Cobalt Strike’ı yerleştirdi, ardından sunucu mesaj bloğunu (SMB) ve WMI komut satırını kullanarak kendi kötü amaçlı yazılımını partiye getirdi.
Earth Estries yöntemlerinde temiz ve bilinçli bir operasyon izlenimi veriyor.
Örneğin, kötü amaçlı yazılımını bir ana makinede yürütmek için, DLL yan yükleme gibi zorlu yöntemi güvenilir bir şekilde tercih eder. Araştırmacılar şunu açıkladı: “Tehdit aktörleri, her operasyon turunu tamamladıktan sonra mevcut arka kapılarını düzenli olarak temizlediler ve yeni bir tura başladıklarında yeni bir kötü amaçlı yazılım parçasını yeniden dağıttılar. Bunu, açığa çıkma ve tespit edilme riskini azaltmak için yaptıklarına inanıyoruz.”
DLL yandan yükleme ve grubun kullandığı başka bir araç olan Fastly CDN, Earth Longzhi gibi APT41 alt grupları arasında popülerdir. Trend Micro ayrıca Earth Estries’in arka kapı yükleyicisi ile FamousSparrow’unki arasında çakışmalar da buldu. Yine de Earth Estries’in kesin kökeni belirsizdir. C2 altyapısının beş kıtaya yayılmış olması ve dünyanın tüm yarıkürelerini kapsaması da işe yaramıyor: Kanada’dan Avustralya’ya, Finlandiya’dan Laos’a, en yüksek yoğunluk ABD ve Hindistan’da.
Dünyanın dört bir yanındaki hükümetlere ve teknoloji kuruluşlarına karşı yürüttüğü kampanya bugün de devam ettiğinden araştırmacılar grup hakkında yakında daha fazla bilgi edinebilir.