Un equipo de hackers apodado Estries de la Tierra se ha atribuido a una nueva campaña de ciberespionaje en curso dirigida a industrias gubernamentales y tecnológicas con sede en Filipinas, Taiwán, Malasia, Sudáfrica, Alemania y Estados Unidos.
“Los actores de amenazas detrás de Earth Estries están trabajando con recursos de alto nivel y funcionando con habilidades sofisticadas y experiencia en ciberespionaje y actividades ilícitas”, dijeron los investigadores de Trend Micro Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang y Gilbert Sison. dicho.
Activo desde al menos 2020, se dice que Earth Estries comparte superposiciones tácticas con otro grupo de estado-nación rastreado como FamousSparrow, que ESET expuso por primera vez en 2021 por explotar las fallas de ProxyLogon en Microsoft Exchange Server para penetrar en la hotelería, el gobierno, la ingeniería y el ámbito legal. sectores.
Vale la pena señalar que también se han descubierto puntos en común entre FamousSparrow y UNC4841, un grupo de actividades categorizado responsable del uso de armas como arma. Fallo de día cero recientemente revelado en dispositivos Barracuda Networks Email Security Gateway (ESG).
Las cadenas de ataques documentadas por Trend Micro muestran que el adversario está aprovechando Cobalt Strike para realizar una post-explotación de entornos comprometidos, tras lo cual actúa rápidamente para implementar malware adicional y ampliar su presencia.
Se ha observado que el adversario emplea un arsenal de puertas traseras y herramientas de piratería, incluidas puertas traseras, ladrones de datos del navegador y escáneres de puertos para mejorar la recopilación de datos.
Esto incluye Zingdoor, un implante basado en Go para capturar información del sistema, enumerar y administrar archivos y ejecutar comandos arbitrarios; TrillClient, un ladrón personalizado escrito en Go para desviar datos de los navegadores web; y HemiGate, una puerta trasera que puede registrar pulsaciones de teclas, tomar capturas de pantalla, realizar operaciones con archivos y monitorear procesos.
Lo que da más legitimidad a los motivos de espionaje del adversario es su propensión a limpiar y volver a implementar periódicamente sus puertas traseras en el host infectado en un intento de reducir el riesgo de exposición y detección.
“Earth Estries depende en gran medida de Carga lateral de DLL para cargar varias herramientas dentro de su arsenal”, dijeron los investigadores. “Para dejar la menor huella posible, utilizan ataques de degradación de PowerShell para evitar la detección del mecanismo de registro de Windows Antimalware Scan Interface (AMSI)”.
Otro aspecto significativo del modus operandi es el abuso de servicios públicos como Github, Gmail, AnonFiles y File.io para intercambiar o transferir comandos y datos robados. La mayoría de los servidores de comando y control (C2) están ubicados en EE. UU., India, Australia, Canadá, China, Japón, Finlandia, Sudáfrica y el Reino Unido.
“Al comprometer los servidores internos y las cuentas válidas, los actores de amenazas pueden realizar movimientos laterales dentro de la red de la víctima y llevar a cabo sus actividades maliciosas de forma encubierta”, dijeron los investigadores. “También utilizan técnicas como ataques de degradación de PowerShell y novedosas combinaciones de carga lateral de DLL para evadir la detección”.
About the Author
