GhostSpider-Hintertür

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren, Malware

Übersetzen Sie in:

Eine hochentwickelte, mit China verbundene Cyber-Spionage-Gruppe namens Earth Estries hat es auf Telekommunikations- und Regierungsbehörden in Südostasien und darüber hinaus abgesehen. Die Gruppe hat eine Reihe hochentwickelter Techniken eingesetzt, um in kritische Branchen einzudringen, darunter eine nicht dokumentierte Hintertür namens GhostSpider. Es wurde auch beobachtet, dass dieser Bedrohungsakteur mehrere Schwachstellen ausnutzte, um unbefugten Zugriff auf seine Ziele zu erlangen, was die zunehmende Raffinesse der Cyber-Fähigkeiten Chinas offenbart.

Inhaltsverzeichnis

GhostSpider: Die undokumentierte Hintertür

GhostSpider, eine neue Ergänzung zum Arsenal der Earth Estries, wurde als primäre Methode zum Infiltrieren von Netzwerken verwendet. Diese Hintertür ist äußerst zielgerichtet und wurde speziell entwickelt, um Schwachstellen in der Infrastruktur südostasiatischer Telekommunikationsunternehmen auszunutzen. Die Earth Estries verwenden dieses Tool zusammen mit MASOL RAT (auch bekannt als Backdr-NQ), einer weiteren Hintertür, um sowohl Linux- als auch Regierungsnetzwerksysteme anzugreifen. Die Strategie der Gruppe, maßgeschneiderte Malware zu verwenden, gewährleistet eine dauerhafte Präsenz in kompromittierten Netzwerken und ermöglicht so langfristige Cyber-Spionage.

Eine globale Reichweite: Ausrichtung auf mehrere Sektoren

The Earth Estries hat große Fortschritte dabei gemacht, eine Vielzahl von Branchen zu kompromittieren, darunter Telekommunikation, Technologie, Beratung, Transport, chemische Industrie und Regierungsorganisationen. Die Aktivitäten der Gruppe umfassen über 20 Opfer in mehr als einem Dutzend Ländern, darunter Afghanistan, Brasilien, Indien, Indonesien, Malaysia, Südafrika, die USA und Vietnam. Diese breite Zielausrichtung unterstreicht die Fähigkeiten und Ambitionen der Gruppe, denn ihre Aktivitäten haben schätzungsweise 150 Opfer betroffen, insbesondere innerhalb der US-Regierung und des privaten Sektors.

Die Werkzeuge der Erde Estries

Unter den vielen Tools, die The Earth Estries zur Verfügung stehen, stechen das Demodex-Rootkit und Deed RAT (auch bekannt als SNAPPYBEE) hervor. Diese Tools sind zusammen mit anderen wie Crowdoor und TrillClient ein wesentlicher Bestandteil der Operationen der Gruppe. ShadowPad, eine von chinesischen APT-Gruppen weit verbreitete Malware-Familie, soll die Entwicklung von Deed RAT, einem wahrscheinlichen Nachfolger, beeinflusst haben. Diese fortschrittlichen Hintertüren und Informationsdiebe ermöglichen es The Earth Estries, verborgen zu bleiben und gleichzeitig vertrauliche Informationen von ihren Zielen zu extrahieren.

Ausnutzen von Schwachstellen für den Erstzugriff

Um Zugang zu seinen Zielen zu erhalten, nutzt Earth Estries in hohem Maße N-Day-Schwachstellen, also Fehler in Software, die öffentlich bekannt sind, aber von Benutzern noch nicht gepatcht wurden. Zu den am häufigsten ausgenutzten Schwachstellen zählen die in Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall und Microsoft Exchange Server. Sobald diese Schwachstellen ausgenutzt sind, setzt Earth Estries seine maßgeschneiderte Malware ein und nistet sich weiter in dem kompromittierten Netzwerk ein, um eine langfristige Überwachung und Datenerfassung zu ermöglichen.

Eine komplexe und gut organisierte Gruppe

The Earth Estries operiert mit einem stark strukturierten und organisierten Ansatz. Basierend auf der Analyse mehrerer Kampagnen scheint es, dass verschiedene Teams innerhalb der Gruppe für das Angreifen bestimmter Regionen und Branchen verantwortlich sind. Die Command-and-Control-Infrastruktur (C2) der Gruppe ist ebenfalls dezentralisiert, wobei verschiedene Teams verschiedene Backdoor-Operationen verwalten. Diese Segmentierung ermöglicht eine komplexere und koordiniertere Angriffsserie in verschiedenen Sektoren.

GhostSpider: Ein Multimodul-Implantat

Das Herzstück der Operationen der Earth Estries ist das GhostSpider-Implantat. Dieses hochentwickelte Tool kommuniziert mit der vom Angreifer kontrollierten Infrastruktur über ein benutzerdefiniertes, durch Transport Layer Security (TLS) gesichertes Protokoll. Das Implantat kann bei Bedarf zusätzliche Module abrufen und so seine Funktionalität erweitern. Seine Flexibilität macht es zu einem leistungsstarken Tool für langfristige Cyber-Spionage, das es den Earth Estries ermöglicht, seine Operationen je nach Situation anzupassen und weiterzuentwickeln.

Tarn- und Ausweichtaktiken

Die Earth Estries setzen eine Reihe von Tarntechniken ein, um nicht entdeckt zu werden. Die Gruppe beginnt ihre Angriffe an den Randgeräten und weitet ihre Reichweite nach und nach auf Cloud-Umgebungen aus, wodurch es schwierig wird, ihre Präsenz zu erkennen. Indem sie sich unauffällig verhält und sich hinter mehreren Infrastrukturschichten versteckt, stellt die Earth Estries sicher, dass ihre Aktivitäten über längere Zeiträume unentdeckt bleiben, was eine ununterbrochene Datenerfassung ermöglicht.

Telekommunikationsunternehmen: Ein häufiges Ziel

Telekommunikationsunternehmen sind seit langem ein Hauptziel für mit China verbundene Cyberbedrohungsgruppen, wobei sich die Earth Estries in die Reihen anderer Gruppen wie Granite Typhoon und Liminal Panda einreihen. Diese Angriffe zeigen die zunehmende Reife des chinesischen Cyberprogramms, das sich von einmaligen Angriffen auf Massendatenerfassung und anhaltende Kampagnen gegen kritische Dienstanbieter verlagert hat. Der Fokus der Earth Estries auf Managed Service Provider (MSPs), Internet Service Provider (ISPs) und Plattformanbieter signalisiert eine Änderung der Strategie Chinas, kontinuierlichen Zugriff auf globale Kommunikationsnetzwerke zu erhalten.

Fazit: Eine wachsende Bedrohung durch Cyber-Spionage

Während Earth Estries seine Aktivitäten weiter ausweitet, werden die wachsenden Fähigkeiten von Cyber-Spionagegruppen mit Verbindungen zu China deutlich. Der Einsatz hochentwickelter Malware in Kombination mit einem Fokus auf kritische Infrastruktursektoren zeigt eine gut organisierte und sich entwickelnde Bedrohung. Für Organisationen in den betroffenen Regionen war die Notwendigkeit erhöhter Wachsamkeit und robuster Cybersicherheitsmaßnahmen noch nie so wichtig wie heute.