Une tenue de hacking surnommée Terre Estries a été attribué à une nouvelle campagne de cyberespionnage en cours ciblant le gouvernement et les industries technologiques basées aux Philippines, à Taiwan, en Malaisie, en Afrique du Sud, en Allemagne et aux États-Unis.
“Les acteurs de la menace derrière Earth Estries travaillent avec des ressources de haut niveau et fonctionnent avec des compétences et une expérience sophistiquées en matière de cyberespionnage et d’activités illicites”, ont déclaré les chercheurs de Trend Micro, Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang et Gilbert Sison. dit.
Actif depuis au moins 2020, Earth Estries partagerait des chevauchements tactiques avec un autre groupe d’États-nations suivi sous le nom de FamousSparrow, qui a été révélé pour la première fois par ESET en 2021 comme exploitant les failles de ProxyLogon dans Microsoft Exchange Server pour pénétrer dans l’hôtellerie, le gouvernement, l’ingénierie et le juridique. secteurs.
Il convient de souligner que des points communs ont également été découverts entre FamousSparrow et UNC4841, un groupe d’activités catégorisé tenu responsable de la militarisation d’un faille zero-day récemment révélée dans les appliances ESG (Email Security Gateway) de Barracuda Networks.
Les chaînes d’attaque documentées par Trend Micro montrent que l’adversaire exploite Cobalt Strike pour procéder à la post-exploitation des environnements compromis, après quoi il agit rapidement pour déployer des logiciels malveillants supplémentaires et élargir sa présence.
L’adversaire a été observé en train d’utiliser un arsenal de portes dérobées et d’outils de piratage, notamment des portes dérobées, des voleurs de données de navigateur et des scanners de ports pour améliorer la collecte de données.
Cela englobe Zingdoor, un implant basé sur Go pour capturer des informations système, énumérer et gérer des fichiers et exécuter des commandes arbitraires ; TrillClient, un voleur personnalisé écrit en Go pour siphonner les données des navigateurs Web ; et HemiGate, une porte dérobée qui peut enregistrer les frappes au clavier, prendre des captures d’écran, effectuer des opérations sur les fichiers et surveiller les processus.
Les motivations d’espionnage de l’adversaire sont également légitimées par sa propension à nettoyer et à redéployer régulièrement ses portes dérobées sur l’hôte infecté dans le but de réduire le risque d’exposition et de détection.
“Terre Estries dépend fortement de Chargement latéral des DLL pour charger divers outils dans son arsenal”, ont déclaré les chercheurs. “Pour laisser le moins d’empreinte possible, ils utilisent des attaques de rétrogradation PowerShell pour éviter la détection par le mécanisme de journalisation de Windows Antimalware Scan Interface (AMSI).”
Un autre aspect important du mode opératoire est l’abus de services publics tels que Github, Gmail, AnonFiles et File.io pour échanger ou transférer des commandes et des données volées. La majorité des serveurs de commande et de contrôle (C2) sont situés aux États-Unis, en Inde, en Australie, au Canada, en Chine, au Japon, en Finlande, en Afrique du Sud et au Royaume-Uni.
“En compromettant les serveurs internes et les comptes valides, les auteurs de la menace peuvent effectuer des mouvements latéraux au sein du réseau de la victime et mener leurs activités malveillantes en secret”, ont expliqué les chercheurs. “Ils utilisent également des techniques telles que les attaques de rétrogradation PowerShell et de nouvelles combinaisons de chargement latéral de DLL pour échapper à la détection.”