Um grupo de ciberespionagem possivelmente ligado à China tem como alvo organizações governamentais e empresas de tecnologia em várias partes do mundo.

Trend Micro, que o acompanha como Estries da Terradiz que o grupo existe desde pelo menos 2020.

Embora a empresa de segurança cibernética não tenha atribuído diretamente os Earth Estries a nenhum país em particular, ela apontou que existem algumas sobreposições em táticas, técnicas e procedimentos (TTPs) com um APT chamado FamousSparrow. O FamousSparrow, que em 2021 foi visto como alvo de governos e hotéis, pode estar conectado aos atores de ameaças ligados à China, SparklingGoblin e DRBControl.

A Trend Micro está ciente das vítimas do Earth Estries nos Estados Unidos, Alemanha, África do Sul, Malásia, Filipinas e Taiwan. Algumas evidências sugerem que entidades na Índia, Canadá e Singapura também foram atacadas. Os alvos eram principalmente organizações dos setores governamental e de tecnologia.

Os invasores normalmente comprometem contas de administrador após invadir os servidores internos da organização visada. Eles então se movem lateralmente e implantam backdoors e outras ferramentas, antes de coletar e exfiltrar dados valiosos.

A lista de malware usada pelo grupo inclui os backdoors HemiGate e Zingdoor, e o ladrão de informações TrillClient.

A infraestrutura de comando e controle (C&C) da Earth Estries depende do serviço Fastly CDN, que no passado foi visto sendo abusado por atores de ameaças relacionados ao grupo chinês APT41.

Uma análise descobriu servidores C&C hospedados em serviços de servidores virtuais privados (VPS) em vários países, incluindo EUA, Índia, Canadá, Reino Unido, Finlândia, Alemanha, Macedônia, China, Coreia do Sul, Japão, África do Sul e Austrália.

“A partir de uma visão geral das ferramentas e técnicas utilizadas nesta campanha em curso, acreditamos que os atores da ameaça por trás dos Earth Estries estão a trabalhar com recursos de alto nível e a funcionar com competências sofisticadas e experiência em espionagem cibernética e atividades ilícitas. Os atores da ameaça também usam vários backdoors e ferramentas de hacking para aprimorar os vetores de intrusão”, explicou a Trend Micro.

“Para deixar o mínimo de espaço possível, eles usam ataques de downgrade do PowerShell para evitar a detecção do mecanismo de registro do Windows Antimalware Scan Interface (AMSI). Ademais, os atores abusam de serviços públicos como Github, Gmail, AnonFiles e File.io para trocar ou transferir comandos e dados roubados”, acrescentou a empresa.

:

:

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.