Earth Estries が政府とサイバースパイ活動の技術を標的に
Earth Estries と名付けたサイバー犯罪グループが展開した新たなサイバースパイ活動を解明します。 採用された戦術、技術、手順 (TTP) を分析したところ、Earth Estries が政府やテクノロジー分野の組織を標的としており、APT (Advanced Persistent Threat) グループである FamousSparrow との重複が観察されました。
著者: テッド・リー、レナート・ベルメホ、原宏明、レオン・M・チャン、ギルバート・シソン 2023 年 8 月 30 日 読了時間: ( 文字数)
フォリオに保存
今年の初めに、Earth Estries と名付けたハッカー グループによる新たなサイバースパイ活動を発見しました。 私たちの観察によると、Earth Estries は少なくとも 2020 年から活動しています。また、Earth Estries が使用する戦術、技術、および手順 (TTP) と、別の高度持続的脅威 (APT) グループである FamousSparrow が使用する戦術、技術、および手順 (TTP) の間にいくつかの重複があることも見つかりました。
この進行中のキャンペーンで使用されているツールとテクニックの概要から、Earth Estries の背後にいる攻撃者は高レベルのリソースを活用し、サイバースパイ活動や違法行為における高度なスキルと経験を駆使して活動していると考えられます。 脅威アクターは、複数のバックドアやハッキング ツールも使用して、侵入ベクトルを強化します。 残されるフットプリントをできるだけ少なくするために、彼らは PowerShell ダウングレード攻撃を使用して、Windows Antimalware Scan Interface (AMSI) ログ メカニズムからの検出を回避します。 さらに、攻撃者は Github、Gmail、AnonFiles、File.io などの公共サービスを悪用して、コマンドや盗んだデータを交換または転送します。
この積極的なキャンペーンは、フィリピン、台湾、マレーシア、南アフリカ、ドイツ、米国に拠点を置く政府機関およびテクノロジー業界の組織をターゲットとしています。 このエントリでは、セキュリティ チームや組織がそれぞれのデジタル資産のステータスを確認し、既存のセキュリティ構成を強化できるよう、調査結果と技術分析を詳しく説明します。
感染ベクター
Earth Estries が組織の内部サーバーの 1 つに感染した後、管理者権限を持つ既存のアカウントを侵害していることが判明しました。 Cobalt Strike をシステムにインストールすることで、Earth Estries の背後にある攻撃者は、より多くのマルウェアを展開し、横方向の移動を実行できるようになりました。 攻撃者は、サーバー メッセージ ブロック (SMB) と WMI コマンド ライン (WMIC) を通じて、被害者の環境内の他のマシンにバックドアとハッキング ツールを広めました。 一連の展開における各ラウンドの操作の終了時に、収集されたデータが指定されたフォルダーからアーカイブされました。 私たちのサンプルと分析によると、攻撃者は PDF および DDF ファイルをターゲットにしており、攻撃者はこれらのファイルを、curl.exe を使用してオンライン ストレージ リポジトリの AnonFiles または File.io にアップロードしました。
また、攻撃者が各ラウンドの操作を終了した後に定期的に既存のバックドアをクリーンアップし、次のラウンドを開始するときに新しいマルウェアを再展開していたことにも注目しました。 私たちは、彼らが暴露と検出のリスクを減らすためにこれを行っていると信じています。
バックドアおよびハッキングツール
このキャンペーンでは、攻撃者が情報窃取者、ブラウザ データ窃取者、ポート スキャナーなどのさまざまなツールを使用していることを観察しました。 このセクションでは、新しく発見された注目すべきツールセットに焦点を当て、その技術的な詳細について説明します。
ジングドア
Zingdoor は、Go で書かれた新しい HTTP バックドアです。 Zingdoor に初めて遭遇したのは 2023 年 4 月ですが、一部のログでは、このバックドアの最も初期の開発が 2022 年 6 月に行われたことが示されています。ただし、このバックドアは実際に出現することはほとんどなく、限られた数の被害者で使用されていることが観察されただけでした。クロスプラットフォーム機能を備えた新しく設計されたバックドアとして。 Zingdoor は UPX を使用してパックされており、カスタム難読化エンジンによって高度に難読化されています。
Zingdoor が反 UPX 解凍技術を採用していることに注目しました。 通常、UPX のマジックナンバーは「UPX!」ですが、この場合は「MSE!」に変更されており、UPX アプリケーションはこの変更されたファイルを解凍できません。 この手法は簡単で、モノのインターネット (IoT) タイプのマルウェアでは使用できますが、APT 活動ではまれであると考えられています。