一场新的、正在进行的网络间谍活动被认为是由一个不太知名的Earth Estries黑客组织发起的。根据趋势科技的观察,攻击者正在使用后门程序、信息窃取程序、浏览器数据窃取程序和端口扫描程序等来增强入侵向量。
此外,研究人员发现,Earth Estries使用的一些TTPs与FamousSparrow组重叠。
关于攻击
- Earth Estries使用DLL侧加载攻击和具有管理权限的受损帐户来感染内部服务器。
- 因此,攻击者部署Cobalt Strike信标来分发更多恶意软件并执行横向移动。
- 感染链利用SMB和WMIC在受害者环境中传播后门和黑客工具。
- 在每一轮操作结束时,他们将收集到的数据从PDF和DDF文件中存档,并将其上传到在线存储库AnonFiles或File[.]io。
作为攻击链的一部分,威胁参与者在完成每个操作周期后删除当前的后门,并在新一轮感染过程中重新部署新的恶意软件。
受害者
- 该活动主要针对菲律宾、中国台湾、马来西亚、南非、德国和美国的政府和IT组织
- 研究人员观察到加拿大C2服务器的一些网络流量,以及印度和新加坡出现的工具集检测,使这些地区成为攻击者的潜在目标。
恶意软件检测
研究人员注意到,Earth Estries使用了多种恶意软件,如Zingdoor、TrillClient和HemiGate。
- Zingdoor是一个用Go语言编写的新的HTTP后门,支持多种功能,如运行任意命令和泄露系统信息和Windows服务信息。
- TrillClient是一个用Go语言编写的信息窃取程序,旨在窃取浏览器数据。它被用于反分析的自定义混淆器严重混淆。
- HemiGate是Earth Estries使用的另一个后门,用于通过端口443进行通信,并在环境需要时通过代理执行连接。
防护
组织必须跟踪和分析Earth Estries使用的策略和技术,以设置其安全偏好并保护其数字资产。通过ioc,安全团队和分析人员可以通过MITRE ATT&CK框架更好地分析威胁,并自动响应攻击。
© 版权声明
THE END
暂无评论内容