Gli attacchi APT provenienti da "Earth Estries" colpiscono il governo e la tecnologia con malware personalizzato

Jul 24, 2023

Un attore di minacce recentemente identificato sta rubando silenziosamente informazioni a governi e organizzazioni tecnologiche di tutto il mondo.

La campagna in corso viene per gentile concessione di "Earth Estries". Il gruppo precedentemente sconosciuto esiste almeno dal 2020, secondo un nuovo rapporto di Trend Micro, e si sovrappone in una certa misura con un altro gruppo di spionaggio informatico, FamousSparrow. Sebbene gli obiettivi tendano a provenire dagli stessi due settori, essi spaziano in tutto il mondo dagli Stati Uniti alle Filippine, Germania, Taiwan, Malesia e Sud Africa.

Earth Estries ha un debole per l'utilizzo del sideloading DLL per eseguire uno qualsiasi dei suoi tre malware personalizzati (due backdoor e un infostealer) insieme ad altri strumenti come Cobalt Strike. "Gli autori delle minacce dietro Earth Estries lavorano con risorse di alto livello e operano con competenze sofisticate ed esperienza nello spionaggio informatico e in attività illecite", hanno scritto i ricercatori di Trend Micro.

Earth Estries possiede tre strumenti malware unici: Zingdoor, TrillClient e HemiGate.

Zingdoor è una backdoor HTTP sviluppata per la prima volta nel giugno 2022 e da allora distribuita solo in casi limitati. È scritto in Golang (Go), offrendo funzionalità multipiattaforma e ricco di UPX. Può recuperare informazioni sul sistema e sui servizi Windows; enumerare, caricare o scaricare file; ed eseguire comandi arbitrari su una macchina host.

TrillClient è una combinazione di programma di installazione e infostealer, anch'esso scritto in Go e confezionato in un file CAB di Windows (.cab). Il ladro è progettato per raccogliere le credenziali del browser, con la possibilità aggiuntiva di agire o dormire a comando o a intervalli casuali, con l'obiettivo di evitare il rilevamento. Insieme a Zingdoor, sfoggia un offuscatore personalizzato progettato per ostacolare gli strumenti di analisi.

Lo strumento più poliedrico del gruppo è il backdoor HemiGate. Questo malware multiistanza e all-in-one include funzionalità per il keylogging, l'acquisizione di screenshot, l'esecuzione di comandi e il monitoraggio, l'aggiunta, l'eliminazione e la modifica di file, directory e processi.

Ad aprile, i ricercatori hanno osservato che Earth Estries utilizzava account compromessi con privilegi amministrativi per infettare i server interni di un'organizzazione; non si conosce il mezzo con cui tali account sono stati compromessi. Ha installato Cobalt Strike per stabilire un punto d'appoggio nel sistema, quindi ha utilizzato il server message block (SMB) e la riga di comando WMI per portare il proprio malware al gruppo.

Nei suoi metodi, Earth Estries dà l'impressione di un'operazione pulita e deliberata.

Ad esempio, per eseguire il malware su un computer host, opta in modo affidabile per il complicato metodo del sideloading DLL. E, hanno spiegato i ricercatori, "gli autori delle minacce pulivano regolarmente la loro backdoor esistente dopo aver terminato ogni ciclo di operazioni e ridistribuivano un nuovo pezzo di malware quando iniziavano un altro ciclo. Riteniamo che lo facciano per ridurre il rischio di esposizione e rilevamento."

Il sideloading DLL e un altro strumento utilizzato dal gruppo, Fastly CDN, sono popolari tra i sottogruppi APT41 come Earth Longzhi. Trend Micro ha inoltre riscontrato sovrapposizioni tra il backdoor loader di Earth Estries e quello di FamousSparrow. Tuttavia, l'origine esatta di Earth Estries non è chiara. Non aiuta nemmeno il fatto che la sua infrastruttura C2 sia diffusa in cinque continenti, coprendo tutti gli emisferi della terra: dal Canada all’Australia, dalla Finlandia al Laos, con la più alta concentrazione negli Stati Uniti e in India.

I ricercatori potrebbero presto saperne di più sul gruppo, poiché la sua campagna contro le organizzazioni governative e tecnologiche in tutto il mondo continua ancora oggi.