Um grupo de ciberespionagem possivelmente ligado à China tem como alvo organizações governamentais e empresas de tecnologia em várias partes do mundo.
Trend Micro, que o acompanha como Estries da Terradiz que o grupo existe desde pelo menos 2020.
Embora a empresa de segurança cibernética não tenha atribuído diretamente os Earth Estries a nenhum país em particular, ela apontou que existem algumas sobreposições em táticas, técnicas e procedimentos (TTPs) com um APT chamado FamousSparrow. O FamousSparrow, que em 2021 foi visto como alvo de governos e hotéis, pode estar conectado aos atores de ameaças ligados à China, SparklingGoblin e DRBControl.
A Trend Micro está ciente das vítimas do Earth Estries nos Estados Unidos, Alemanha, África do Sul, Malásia, Filipinas e Taiwan. Algumas evidências sugerem que entidades na Índia, Canadá e Singapura também foram atacadas. Os alvos eram principalmente organizações dos setores governamental e de tecnologia.
Os invasores normalmente comprometem contas de administrador após invadir os servidores internos da organização visada. Eles então se movem lateralmente e implantam backdoors e outras ferramentas, antes de coletar e exfiltrar dados valiosos.
A lista de malware usada pelo grupo inclui os backdoors HemiGate e Zingdoor, e o ladrão de informações TrillClient.
A infraestrutura de comando e controle (C&C) da Earth Estries depende do serviço Fastly CDN, que no passado foi visto sendo abusado por atores de ameaças relacionados ao grupo chinês APT41.
Uma análise descobriu servidores C&C hospedados em serviços de servidores virtuais privados (VPS) em vários países, incluindo EUA, Índia, Canadá, Reino Unido, Finlândia, Alemanha, Macedônia, China, Coreia do Sul, Japão, África do Sul e Austrália.
“A partir de uma visão geral das ferramentas e técnicas utilizadas nesta campanha em curso, acreditamos que os atores da ameaça por trás dos Earth Estries estão a trabalhar com recursos de alto nível e a funcionar com competências sofisticadas e experiência em espionagem cibernética e atividades ilícitas. Os atores da ameaça também usam vários backdoors e ferramentas de hacking para aprimorar os vetores de intrusão”, explicou a Trend Micro.
“Para deixar o mínimo de espaço possível, eles usam ataques de downgrade do PowerShell para evitar a detecção do mecanismo de registro do Windows Antimalware Scan Interface (AMSI). Ademais, os atores abusam de serviços públicos como Github, Gmail, AnonFiles e File.io para trocar ou transferir comandos e dados roubados”, acrescentou a empresa.
:
: