APT-Angriffe von „Earth Estries“ treffen Regierung und Technik mit maßgeschneiderter Malware

Jul 24, 2023

Ein neu identifizierter Bedrohungsakteur stiehlt stillschweigend Informationen von Regierungen und Technologieorganisationen auf der ganzen Welt.

Die laufende Kampagne wird mit freundlicher Genehmigung von „Earth Estries“ durchgeführt. Laut einem neuen Bericht von Trend Micro existiert die bisher unbekannte Gruppe seit mindestens 2020 und überschneidet sich in gewissem Maße mit einer anderen Cyber-Spionageorganisation, FamousSparrow. Obwohl die Zielpersonen in der Regel aus denselben Branchen stammen, erstrecken sie sich über die ganze Welt, von den USA bis zu den Philippinen, Deutschland, Taiwan, Malaysia und Südafrika.

Earth Estries hat eine Vorliebe dafür, DLL-Sideloading zu verwenden, um jede seiner drei benutzerdefinierten Malware – zwei Backdoors und einen Infostealer – zusammen mit anderen Tools wie Cobalt Strike auszuführen. „Die Bedrohungsakteure hinter Earth Estries arbeiten mit hochrangigen Ressourcen und verfügen über hochentwickelte Fähigkeiten und Erfahrung in Cyberspionage und illegalen Aktivitäten“, schreiben die Forscher von Trend Micro.

Earth Estries verfügt über drei einzigartige Malware-Tools: Zingdoor, TrillClient und HemiGate.

Zingdoor ist eine HTTP-Hintertür, die erstmals im Juni 2022 entwickelt wurde und seitdem nur in begrenzten Fällen eingesetzt wird. Es ist in Golang (Go) geschrieben, was plattformübergreifende Funktionen ermöglicht, und mit UPX ausgestattet. Es kann System- und Windows-Dienstinformationen abrufen; Dateien aufzählen, hochladen oder herunterladen; und beliebige Befehle auf einem Host-Computer ausführen.

TrillClient ist eine Kombination aus Installer und Infostealer, ebenfalls in Go geschrieben und in einer Windows-CAB-Datei (.cab) verpackt. Der Stealer ist darauf ausgelegt, Browser-Anmeldeinformationen zu sammeln, mit der zusätzlichen Fähigkeit, auf Befehl oder in zufälligen Abständen zu agieren oder zu schlafen, mit dem Ziel, einer Entdeckung zu entgehen. Zusammen mit Zingdoor verfügt es über einen benutzerdefinierten Obfuscator, der Analysetools überlisten soll.

Das vielfältigste Tool der Gruppe ist die Hintertür HemiGate. Diese All-in-One-Malware mit mehreren Instanzen umfasst Funktionen zum Keylogging, zum Erfassen von Screenshots, zum Ausführen von Befehlen sowie zum Überwachen, Hinzufügen, Löschen und Bearbeiten von Dateien, Verzeichnissen und Prozessen.

Im April beobachteten Forscher, dass Earth Estries kompromittierte Konten mit Administratorrechten nutzte, um die internen Server einer Organisation zu infizieren; Die Art und Weise, wie diese Konten kompromittiert wurden, ist unbekannt. Es schob Cobalt Strike ein, um im System Fuß zu fassen, und nutzte dann den Server Message Block (SMB) und die WMI-Befehlszeile, um seine eigene Malware ins Spiel zu bringen.

Earth Estries erweckt mit seinen Methoden den Eindruck einer sauberen, bewussten Arbeitsweise.

Um beispielsweise seine Malware auf einem Host-Rechner auszuführen, greift es zuverlässig auf die knifflige Methode des DLL-Sideloadings zurück. Und die Forscher erklärten: „Die Bedrohungsakteure säuberten nach Abschluss jeder Operationsrunde regelmäßig ihre bestehende Hintertür und setzten zu Beginn einer weiteren Runde eine neue Malware ein. Wir glauben, dass sie dies tun, um das Risiko einer Offenlegung und Erkennung zu verringern.“

DLL-Sideloading und ein weiteres von der Gruppe verwendetes Tool – Fastly CDN – sind bei APT41-Untergruppen wie Earth Longzhi beliebt. Trend Micro fand außerdem Überschneidungen zwischen dem Backdoor-Loader von Earth Estries und dem von FamousSparrow. Dennoch ist der genaue Ursprung der Earth Estries unklar. Es hilft auch nicht, dass die C2-Infrastruktur über fünf Kontinente verteilt ist und alle Hemisphären der Erde umfasst: von Kanada bis Australien, von Finnland bis Laos, mit der höchsten Konzentration in den USA und Indien.

Forscher könnten bald mehr über die Gruppe erfahren, da ihre Kampagne gegen Regierungs- und Technologieorganisationen auf der ganzen Welt bis heute andauert.