「Earth Estries」からの APT 攻撃がカスタムマルウェアで政府とテクノロジーを襲う

Jul 24, 2023

新たに特定された脅威アクターが、世界中の政府やテクノロジー組織から密かに情報を盗んでいます。

進行中のキャンペーンは「Earth Estries」のご厚意により行われています。 トレンドマイクロの新しいレポートによると、これまで知られていなかったこのグループは少なくとも 2020 年から存在しており、別のサイバースパイ組織である FamousSparrow とある程度重複しています。 ターゲットは同じいくつかの業界から来る傾向がありますが、米国からフィリピン、ドイツ、台湾、マレーシア、南アフリカに至るまで、世界中に広がっています。

Earth Estries は、Cobalt Strike などの他のツールとともに、DLL サイドローディングを使用して 3 つのカスタム マルウェア (2 つのバックドアとインフォスティーラー) のいずれかを実行する傾向があります。 「Earth Estriesの背後にある脅威アクターは、高度なリソースを活用し、サイバースパイ活動や違法行為における高度なスキルと経験を駆使して活動している」とトレンドマイクロの研究者らは書いている。

Earth Estries は、Zingdoor、TrillClient、HemiGate という 3 つの独自のマルウェア ツールを所有しています。

Zingdoor は 2022 年 6 月に初めて開発された HTTP バックドアで、それ以降は限られたインスタンスのみにデプロイされています。 Golang (Go) で書かれているため、クロスプラットフォーム機能が備わっており、UPX が組み込まれています。 システムおよび Windows サービス情報を取得できます。 ファイルを列挙、アップロード、またはダウンロードします。 ホスト マシン上で任意のコマンドを実行します。

TrillClient は、インストーラーとインフォスティーラーを組み合わせたもので、これも Go で記述され、Windows キャビネット ファイル (.cab) にパッケージ化されています。 スティーラーはブラウザの資格情報を収集するように設計されており、検出を回避することを目的として、コマンドに応じて、またはランダムな間隔で動作またはスリープする機能が追加されています。 Zingdoor とともに、切り株分析ツールを目的として設計されたカスタム難読化ツールも備えています。

このグループの最も多面的なツールは、バックドア HemiGate です。 このマルチインスタンスのオールインワン マルウェアには、キーロギング、スクリーンショットのキャプチャ、コマンドの実行、ファイル、ディレクトリ、プロセスの監視、追加、削除、編集の機能が含まれています。

4 月、研究者らは Earth Estries が管理者特権を持つ侵害されたアカウントを使用して組織の内部サーバーに感染していることを観察しました。 これらのアカウントが侵害された手段は不明です。 Cobalt Strike を仕掛けてシステム内に足場を築き、サーバー メッセージ ブロック (SMB) と WMI コマンド ラインを使用して独自のマルウェアを侵入させました。

Earth Estries の手法は、クリーンで計画的な運営の印象を与えます。

たとえば、ホスト マシン上でマルウェアを実行するには、DLL サイドローディングというトリッキーな方法を確実に選択します。 そして研究者らは、「攻撃者は各ラウンドの操作終了後に定期的に既存のバックドアをクリーンアップし、次のラウンドの開始時に新しいマルウェアを再展開していました。私たちは、攻撃者がこれを行っているのは、暴露と検出のリスクを軽減するためであると考えています。」と説明しました。

DLL サイドローディングと、このグループが使用するもう 1 つのツールである Fastly CDN は、Earth Longzhi のような APT41 サブグループに人気があります。 トレンドマイクロは、Earth Estries のバックドア ローダーと FamousSparrow のバックドア ローダーの間に重複があることも発見しました。 それでも、アースエストリーの正確な起源は不明です。 また、その C2 インフラがカナダからオーストラリア、フィンランドからラオスに至るまで、地球の全半球を網羅する 5 つの大陸にまたがっており、米国とインドに最も集中していることも役に立ちません。

世界中で政府やテクノロジー組織に対するキャンペーンが現在も続いているため、研究者らは近いうちにこのグループについてさらに詳しく知ることになるかもしれない。