Earth Estries olarak bilinen Çin bağlantılı tehdit aktörünün, Güneydoğu Asya telekomünikasyon şirketlerini hedef alan saldırılarının bir parçası olarak daha önce belgelenmemiş GHOSTSPIDER adlı bir arka kapıyı kullandığı gözlemlendi.
Trend Micro, açıklanan Saldırgan gelişmiş kalıcı bir tehdit (APT) olarak değerlendirilen bilgisayar korsanlığı grubu, izinsiz girişlerin aynı zamanda Güneydoğu Asya hükümet ağlarına ait Linux sistemlerinde MASOL RAT (diğer adıyla Backdr-NQ) adlı başka bir platformlar arası arka kapının kullanımını da içerdiğini söyledi.
Toplamda, Earth Estries’in telekomünikasyon, teknoloji, danışmanlık, kimya ve ulaştırma endüstrileri, devlet kurumları ve kar amacı gütmeyen kuruluş (STK) sektörlerini kapsayan 20’den fazla kuruluştan başarıyla ödün verdiği tahmin ediliyor.
Aralarında Afganistan, Brezilya, Esvatini, Hindistan, Endonezya, Malezya, Pakistan, Filipinler, Güney Afrika, Tayvan, Tayland, ABD ve Vietnam’ın da bulunduğu bir düzineden fazla ülkede kurbanlar belirlendi.
Earth Estries paylaşımları, FamousSparrow, GhostEmperor, Salt Typhoon ve UNC2286 adları altında diğer siber güvenlik satıcıları tarafından takip edilen kümelerle örtüşüyor. En az 2020’den beri aktif olduğu ve ABD, Asya-Pasifik bölgesi, Orta Doğu ve Güney Afrika’daki telekomünikasyon ve devlet kurumlarına sızmak için çok çeşitli kötü amaçlı yazılım ailelerinden yararlandığı söyleniyor.
Bir göre rapor Geçen hafta The Washington Post’tan gelen bir rapora göre, hack grubunun yalnızca ABD’de bir düzineden fazla telekom şirketine sızdığına inanılıyor. ABD hükümeti tarafından 150 kadar kurban tespit edildi ve bilgilendirildi.
 |
| DEMODEX rootkit’in enfeksiyon zinciri |
Kötü amaçlı yazılım portföyündeki dikkate değer araçlardan bazıları arasında Demodex rootkit ve birçok Çinli APT grubu tarafından yaygın olarak kullanılan ShadowPad’in şüpheli halefi olan Deed RAT (diğer adıyla SNAPPYBEE) yer alıyor. Tehdit aktörünün ayrıca Crowdoor, SparrowDoor, HemiGate, TrillClient ve Zingdoor gibi arka kapılar ve bilgi hırsızları da kullanıyor.
Hedef ağlara ilk erişim, Ivanti Connect Secure (CVE-2023-46805 ve CVE-2024-21887), Fortinet FortiClient EMS (CVE-2023-48788), Sophos Güvenlik Duvarı’ndaki (CVE-2023-48788) N günlük güvenlik açıklarından yararlanılarak kolaylaştırılmıştır. 2022-3236), Microsoft Exchange Sunucusu (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065, diğer adıyla ProxyLogon).
 |
| GHOSTSPIDER enfeksiyon akışı |
Saldırılar daha sonra uzun vadeli siber casusluk faaliyetlerini yürütmek için Deed RAT, Demodex ve GHOSTSPIDER gibi özel kötü amaçlı yazılımların konuşlandırılmasının yolunu açıyor.
Güvenlik araştırmacıları Leon M Chang, Theo Chen, Lenart Bermejo ve Ted Lee, “Earth Estries açık bir işbölümüne sahip iyi organize edilmiş bir gruptur” dedi. “Birden fazla kampanyadan elde edilen gözlemlere dayanarak, farklı bölgeleri ve endüstrileri hedef alan saldırıların farklı aktörler tarafından başlatıldığını tahmin ediyoruz.”
“Buna ek olarak, [command-and-control] Çeşitli arka kapılar tarafından kullanılan altyapının farklı altyapı ekipleri tarafından yönetildiği görülüyor, bu da grubun operasyonlarının karmaşıklığını daha da vurguluyor.”
Gelişmiş ve çok modüler bir implant olan GHOSTSPIDER, Aktarım Katmanı Güvenliği (TLS) tarafından korunan özel bir protokolü kullanarak saldırgan tarafından kontrol edilen altyapıyla iletişim kurar ve gerektiğinde işlevselliğini tamamlayabilecek ek modüller getirir.
Trend Micro, “Earth Estries uç cihazlardan başlayıp bulut ortamlarına kadar uzanan gizli saldırılar gerçekleştirerek tespit edilmesini zorlaştırıyor” dedi.
“Siber casusluk faaliyetlerini etkili bir şekilde gizleyen operasyonel ağlar kurmak için çeşitli yöntemler kullanıyorlar ve hassas hedeflere sızma ve bunları izleme yaklaşımlarında yüksek düzeyde karmaşıklık sergiliyorlar.”
Telekomünikasyon şirketleri hedefte Çin bağlantılı birkaç tehdit grubu Son yıllarda Granite Typhoon ve Liminal Panda gibi.
Siber güvenlik firması CrowdStrike, The Hacker News’e, saldırıların Çin’in siber programında önemli bir olgunlaşmanın altını çizdiğini; bu programın izole saldırılardan toplu veri toplamaya ve Yönetilen Hizmet Sağlayıcıları (MSP’ler), İnternet Servis Sağlayıcılarını (ISP’ler) uzun vadeli hedeflemeye geçtiğini vurguladı. ve platform sağlayıcıları.
