APT und gezielte Angriffe
Earth Estries aktiv mit Cyberspionage
Eine neue Cyberspionage-Kampagne nimmt Regierungsbehörden und Technologiefirmen ins Visier. Auch deutsche Organisationen gehören zu den Zielen. Unsere Erkenntnisse aus der Analyse der Malware können Unternehmen helfen, einen Schutz aufzubauen.
Anfang dieses Jahres entdeckten wir eine neue Cyberspionage-Kampagne einer Hackergruppe, die wir Earth Estries benannten. Die Gruppe ist seit mindestens 2020 aktiv. Wir fanden auch einige Überschneidungen zwischen den von Earth Estries verwendeten Taktiken, Techniken und Verfahren (TTPs) und denen einer anderen APT-Gruppe (Advanced Persistent Threat), FamousSparrow.
Ausgehend von unseren Einsichten in die verwendeten Tools und Techniken der laufenden Kampagne lässt sich sagen, dass die Bedrohungsakteure mit hochwertigen Ressourcen arbeiten und über ausgefeilte Fähigkeiten, Erfahrungen im Bereich Cyberspionage und illegaler Aktivitäten verfügen. Sie verwenden mehrere Backdoors und Hacking-Tools, um die Einbruchsvektoren zu verbessern. Mithilfe von PowerShell-Downgrade-Angriffen versuchen sie, eine Erkennung durch den Protokollierungsmechanismus von Windows Antimalware Scan Interface (AMSI) zu vermeiden. Darüber hinaus missbrauchen die Akteure öffentliche Services wie Github, Gmail, AnonFiles und File.io für den Austausch und die Übertragung von Befehlen und gestohlenen Daten.
Diese aktive Kampagne zielt auf Organisationen in der Regierung und in der Technologiebranche auf den Philippinen, in Taiwan, Malaysia, Südafrika, Deutschland und den USA ab.
Infektionsvektor
Earth Estries kompromittiert bestehende Konten mit administrativen Rechten, nachdem die Malware erfolgreich einen der internen Server der Organisation infiziert hat. Durch die Installation von Cobalt Strike auf dem System konnten die Akteure weitere Malware einsetzen und sich lateral bewegen. Über den Server Message Block (SMB) und die WMI-Befehlszeile (WMIC) übertrugen sie Backdoors und Hacking-Tools auf andere Rechner in der Umgebung des Opfers. Am Ende jeder Runde in einer Reihe von Einsätzen archivierten sie die gesammelten Daten in einem bestimmten Ordner. Unseren Stichproben und Analysen zufolge hatten sie es auf PDF- und DDF-Dateien abgesehen, die sie mithilfe von curl.exe auf die Online-Speicher AnonFiles oder File.io hochluden.
Wir stellten außerdem fest, dass sie ihre vorhandene Backdoor nach jeder Runde regelmäßig säuberten und eine neue Malware einsetzten, wenn sie eine weitere starteten. Damit wollen sie vermutlich das Risiko der Entdeckung verringern. Einzelheiten zu Backdoors und Hacking-Tools beinhaltet der Originalbeitrag.
Earth Estries bedient sich intensiv des DLL-Sideloadings, um verschiedene Tools aus deren Arsenal zu laden. Abgesehen von den bereits erwähnten Backdoors nutzt dieses Angriffs-Set auch gängige Remote Control-Tools wie Cobalt Strike, PlugX oder Meterpreter Stagers, die in verschiedenen Angriffsphasen ausgetauscht werden. Diese Tools werden als verschlüsselte Payloads von benutzerdefinierten Loader-DLLs geladen.
Bemerkenswert an den verwendeten Loadern ist, dass sich der Dekodierungsschlüssel in der verschlüsselten Payload befindet. Im Großen und Ganzen richten sich die von uns beobachteten DLL-Sideloading-Angriffe gegen ältere Versionen legitimer Dateien, die teilweise sogar ein Jahrzehnt alt sind, um sie in LOLBins umzuwandeln. Die Angreifer nutzen diese Taktik als Versuch, von Sicherheitsprodukten ignoriert zu werden. Daher ist es umso wichtiger, Versionskontrollen und Anwendungs-Baselines zu implementieren, um Anomalien zu erkennen und Angreifer daran zu hindern, in der Unternehmensumgebung Fuß zu fassen.
Zusammenfassung
Earth Estries ist eine anspruchsvolle Hackergruppe, sich auf Cyberspionage spezialisiert hat und fortgeschrittene Techniken wie mehrere Backdoors und Hacking-Tools einsetzt, um sich Zugang zu ihren Zielen zu verschaffen.
Durch die Kompromittierung interner Server und gültiger Konten können sich die Bedrohungsakteure innerhalb des Netzwerks des Opfers lateral bewegen und ihre bösartigen Aktivitäten im Verborgenen durchführen. Die Verwendung von Zingdoor als Teil der Routine, um sicherzustellen, dass die Backdoor nicht einfach entpackt werden kann, stellt Analysten und Sicherheitsteams vor Herausforderungen und erschwert die Analyse. Sie verwenden auch Techniken wie PowerShell-Downgrade-Angriffe und neuartige DLL-Sideloading-Kombinationen, um die Entdeckung zu umgehen. Außerdem deuten die Ähnlichkeiten im Code und in den TTPs von Earth Estries und FamousSparrow auf eine mögliche Verbindung zwischen ihnen hin. Andere Indizien wie verfolgte IP-Adressen und gemeinsame technische Formatierungsthemen deuten auf starke Verbindungen hin, die weiter untersucht und analysiert werden können.
Das Verständnis der von Earth Estries verwendeten Methoden kann Organisationen dabei helfen, ihre Sicherheitsmaßnahmen zu verbessern und ihre digitalen Assets zu schützen. Es ist wichtig, dass Einzelpersonen und Unternehmen wachsam bleiben und die notwendigen Maßnahmen zur Verbesserung ihrer Cybersicherheit ergreifen, um sich vor solchen Cyberspionage-Kampagnen zu schützen.
Unsere Erkenntnisse und technischen Analysen sind wichtig, um Sicherheitsteams und Unternehmen bei der Überprüfung des Status ihrer jeweiligen digitalen Ressourcen zu unterstützen und ihnen die Möglichkeit zu geben, ihre bestehenden Sicherheitskonfigurationen zu verbessern.
Zudem bietet Trend Vision One™ Sicherheitsteams und Analysten die Möglichkeit, alle einzelnen Komponenten des Unternehmens von einer einzigen Plattform aus zu überblicken, um die Tools, Verhaltensweisen und Nutzlasten zu überwachen und zu verfolgen, während die Routine versucht, sich in den Netzwerken, Systemen und der Infrastruktur des Unternehmens weiterzubewegen und auszuführen, während gleichzeitig die Bedrohungen so weit wie möglich von der Angriffs- oder Infektionsroutine entfernt erkannt und blockiert werden.
Der Originalbeitrag umfasst auch eine Tabelle mit MITRE ATT&CK-Taktiken und eine Liste mit den Indicators of Compromise (IOC).