Earth Estries apunta al gobierno y la tecnología para el ciberespionaje
Desglosamos una nueva campaña de ciberespionaje implementada por un grupo cibercriminal al que llamamos Earth Estries. Al analizar las tácticas, técnicas y procedimientos (TTP) empleados, observamos superposiciones con el grupo de amenazas persistentes avanzadas (APT) FamousSparrow mientras Earth Estries apunta a gobiernos y organizaciones del sector tecnológico.
Por: Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang, Gilbert Sison 30 de agosto de 2023 Tiempo de lectura: (palabras)
Guardar en publicación
A principios de este año, descubrimos una nueva campaña de ciberespionaje realizada por un grupo de piratas informáticos al que llamamos Earth Estries. Según nuestras observaciones, Earth Estries ha estado activo desde al menos 2020. También encontramos algunas superposiciones entre las tácticas, técnicas y procedimientos (TTP) utilizados por Earth Estries y los utilizados por otro grupo de amenaza persistente avanzada (APT), FamousSparrow.
A partir de una descripción general de las herramientas y técnicas utilizadas en esta campaña en curso, creemos que los actores de amenazas detrás de Earth Estries están trabajando con recursos de alto nivel y funcionando con habilidades sofisticadas y experiencia en ciberespionaje y actividades ilícitas. Los actores de amenazas también utilizan múltiples puertas traseras y herramientas de piratería para mejorar los vectores de intrusión. Para dejar la menor huella posible, utilizan ataques de degradación de PowerShell para evitar la detección del mecanismo de registro de la interfaz de escaneo antimalware de Windows (AMSI). Además, los actores abusan de servicios públicos como Github, Gmail, AnonFiles y File.io para intercambiar o transferir comandos y datos robados.
Esta campaña activa está dirigida a organizaciones del sector gubernamental y tecnológico con sede en Filipinas, Taiwán, Malasia, Sudáfrica, Alemania y Estados Unidos. Detallamos nuestros hallazgos y análisis técnico en esta entrada para guiar a los equipos y organizaciones de seguridad en la revisión del estado de sus respectivos activos digitales y para que mejoren sus configuraciones de seguridad existentes.
Vector de infección
Descubrimos que Earth Estries comprometió cuentas existentes con privilegios administrativos después de infectar con éxito uno de los servidores internos de la organización. Al instalar Cobalt Strike en el sistema, los actores detrás de Earth Estries pudieron implementar más piezas de malware y realizar movimientos laterales. A través del bloque de mensajes del servidor (SMB) y la línea de comando WMI (WMIC), los actores de amenazas propagaron puertas traseras y herramientas de piratería en otras máquinas en el entorno de la víctima. Al final de cada ronda de operaciones en una serie de implementaciones, archivaron los datos recopilados en una carpeta específica. Según nuestras muestras y análisis, los actores de amenazas apuntaron a archivos PDF y DDF, que cargaron en repositorios de almacenamiento en línea AnonFiles o File.io usando curl.exe.
También notamos que los actores de amenazas limpiaban periódicamente su puerta trasera existente después de finalizar cada ronda de operación y volvían a implementar una nueva pieza de malware cuando comenzaban otra ronda. Creemos que hacen esto para reducir el riesgo de exposición y detección.
Puerta trasera y herramientas de hacking
Observamos a los actores de amenazas utilizando varias herramientas en esta campaña, incluidos ladrones de información, ladrones de datos del navegador y escáneres de puertos, entre otros. En esta sección, nos centramos en conjuntos de herramientas destacados y recientemente descubiertos y analizamos sus detalles técnicos.
Zingdoor
Zingdoor es una nueva puerta trasera HTTP escrita en Go. Si bien encontramos Zingdoor por primera vez en abril de 2023, algunos registros indican que los primeros desarrollos de esta puerta trasera tuvieron lugar en junio de 2022. Sin embargo, rara vez se había visto en la naturaleza y solo se había observado su uso en un número limitado de víctimas, probablemente como una puerta trasera de nuevo diseño con capacidades multiplataforma. Zingdoor está empaquetado con UPX y muy ofuscado por un motor ofuscador personalizado.
Observamos que Zingdoor adopta técnicas de desempaquetado anti-UPX. Generalmente, el número mágico de UPX es “UPX!”, pero en este caso se modificó a “MSE!” y la aplicación UPX no puede descomprimir este archivo modificado. Esta técnica es sencilla y se utiliza en tipos de malware de Internet de las cosas (IoT), pero se considera poco común en las actividades de APT.
Zingdoor se disfrazó como mpclient.dll y se diseñó para ejecutarse mediante descarga de DLL mediante el abuso del binario MsSecEs.exe del defensor de Windows. Al ejecutar el ejecutable, Zingdoor registra el proceso principal actual como un servicio de Windows con el nombre "MsSecEsSvc" para su persistencia y lo inicia. Como proceso de servicio, Zingdoor se conecta y espera un comando del servidor de comando y control (C&C). Según las funciones definidas en la puerta trasera, admite las siguientes capacidades:
TrinoCliente
El conjunto de herramientas TrillClient es un ladrón de información diseñado para robar datos del navegador y se empaqueta en un único archivo contenedor (.cab) y se extrae a través de la aplicación de utilidad expand.exe. El archivo CAB contiene un instalador de TrillClient y un ladrón. En base a diferentes argumentos, el instalador realiza los siguientes comportamientos:
Como TrillClient es un ladrón de datos de navegador personalizado escrito en Go, está muy ofuscado por un ofuscador personalizado para antianálisis. Una vez iniciado, busca la lista de víctimas, 7C809B4866086EF7FB1AB722F94DF5AF493B80DB creada por el instalador. Luego, se conecta a un repositorio de GitHub para recuperar el comando para el siguiente conjunto de acciones. La dirección del repositorio está codificada en el malware de la siguiente manera: hxxps://raw[.]githubusercontent[.]com/trillgb/codebox/main/config.json.
Value.name es el ID de la víctima, mientras que value.value es un comando. Después de recibir esta configuración, TrillClient busca su propia ID de víctima en la lista value.name y realiza actividades maliciosas basadas en el comando definido por value.value. TrillClient admite los siguientes comandos:
TrillClient roba los datos confidenciales que se encuentran en los siguientes directorios:
Los datos recopilados se copiarán temporalmente en <%TEMP%\browser_temp_data
HemiGate
HemiGate es una puerta trasera utilizada por Earth Estries. Como la mayoría de las herramientas utilizadas por este actor de amenazas, esta puerta trasera también se ejecuta mediante descarga de DLL utilizando uno de los cargadores que admiten cargas útiles intercambiables. K7AVMScn.exe de K7 Computing es el host de descarga utilizado por esta puerta trasera, mientras que el cargador se hace pasar por K7AVWScn.dll. La puerta trasera principal es un archivo cifrado llamado taskhask.doc, y otro archivo cifrado llamado taskhask.dat sirve como archivo de configuración.
HemiGate se comunica con su servidor C&C a través del puerto 443 y realiza una conexión a través de proxy si el entorno lo requiere. El servidor C&C se recupera del archivo de configuración, que contiene principalmente combinaciones de puerto y servidor C&C. El archivo de configuración se descifra mediante cifrado RC4 con la clave 4376dsygdYTFde3. Esta clave RC4 también se utiliza en otras funciones de cifrado/descifrado realizadas por la puerta trasera en la mayoría de sus rutinas. La comunicación con el servidor se realiza mediante el método POST, utilizando el siguiente encabezado predefinido:
HemiGate se ejecuta en tres instancias:
La función keylogger utiliza una ventana de control estática no interactiva creando una ventana con una clase "estática" predefinida. Luego se utiliza una función de temporizador junto con un gancho de teclado para registrar continuamente las pulsaciones de teclas en una ventana activa, siempre que la ventana permanezca activa. La pulsación de tecla se registra utilizando la siguiente estructura:
Además del keylogger, también están disponibles las siguientes funciones:
Uso intensivo de carga lateral de DLL
Observamos que Earth Estries depende en gran medida de la carga lateral de DLL para cargar varias herramientas dentro de su arsenal. Además de las puertas traseras mencionadas anteriormente, este conjunto de intrusión también utiliza herramientas de control remoto de uso común como Cobalt Strike, PlugX o Meterpreter stagers indistintamente en varias etapas de ataque. Estas herramientas vienen como cargas útiles cifradas cargadas por archivos DLL de cargador personalizados.
Una característica notable de los cargadores utilizados es que la clave de descifrado se encuentra en la carga útil cifrada. Observamos que este conjunto de intrusiones utiliza el mismo archivo de carga mientras carga una carga útil diferente en el mismo entorno de destino.
Durante nuestra investigación, aprendimos varias combinaciones de carga lateral utilizadas por Earth Estries y las enumeramos en la siguiente tabla:
En general, los ataques de descarga de DLL que hemos observado se dirigen contra versiones más antiguas de archivos legítimos, algunos incluso con una década de antigüedad, en un intento por convertirlos en LOLBins. Los atacantes utilizan esta táctica oportunista con la esperanza de que los productos de seguridad los ignoren. Esta situación hace que sea aún más importante implementar controles de versiones y líneas base de aplicaciones para detectar anomalías y evitar que los atacantes se afiancen en el entorno empresarial.
Infraestructura del servidor C&C
Observamos que algunos de los implantes Cobalt Strike que utilizó Earth Estries utilizaban el servicio Fastly CDN para ocultar la dirección IP real. También hemos observado anteriormente el uso de Fastly CDN en otras campañas por parte de algunos grupos relacionados con APT41, como Earth Longzhi y GroupCC.
Al analizar las actividades de C&C de otras Earth Estries observadas desde los entornos de sus víctimas, descubrimos algunos datos notables en la información del registrante de la siguiente manera:
Los dominios observados en la Tabla 4 se observaron a partir de incidentes reales. Según los repositorios públicos, esos dominios C&C comparten la misma información del registrante. Inferimos que los dominios tienen preferencias en lo que respecta a la información del registrante. Además, estos dominios comparten formatos de direcciones C&C similares, algunos de los cuales observamos al rastrear sus operaciones. Si bien nuestra investigación está en curso para determinar si estos dominios y los datos del registrante están relacionados con los actores de la amenaza, sabemos que estos datos se pueden usar para pivotar otros dominios C&C relacionados, probablemente utilizados por el mismo grupo.
Según la información del registrante, encontramos más registros del antiguo dominio registrado por los actores de amenazas.
Al revisar todos los dominios, observamos que smartlinkcorp[.]net proporcionó la mayor cantidad de información de los repositorios públicos y de la comunidad de inteligencia sobre amenazas. Al profundizar en el dominio, descubrimos un registro de un subdominio relacionado, "ns2.smartlinkcorp[.]net". Además, Cobalt Strike estuvo alojado en ns2.smartlinkcor[.]net con la marca de agua 2029527128. Según la marca de agua, encontramos más dominios y registros de IP relacionados.
A partir de estos registros de Cobalt Strike, notamos dos nuevos dominios, digitelela[.]com y z7-tech[.]com, que no observamos en nuestras investigaciones iniciales. Luego encontramos otro conjunto de dominios posiblemente utilizado por los actores de amenazas según la información del registrante.
Al igual que los conjuntos de dominios que encontramos enumerados en la Tabla 4, hay varios datos comunes, como el registro del país derivado de estos dominios y subdominios. Específicamente, los dominios siguen un formato ns{número}.{dominio} y están diseñados para que una baliza Cobalt Strike envíe y reciba comandos a través de un túnel DNS.
Al analizar los dominios C&C anteriores y las direcciones IP resueltas, encontramos sus servidores C&C alojados en servicios de servidor privado virtual (VPS) ubicados en diferentes países. Resumimos la distribución de servidores C&C aquí:
Victimología
Según nuestra investigación, Earth Estries centra sus ataques e intentos en organizaciones relacionadas con el gobierno y empresas de tecnología en Filipinas, Taiwán, Malasia, Sudáfrica, Alemania y Estados Unidos. También observamos el tráfico de red a los servidores C&C en Canadá y la aparición de detecciones de conjuntos de herramientas en India y Singapur, lo que convierte a estas regiones en regiones potencialmente muy afectadas. Las organizaciones de los países identificados no sólo deberían reexaminar sus sistemas para detectar posibles intrusiones e intercambios de tráfico no autorizados, sino también reforzar sus medidas de seguridad existentes.
Atribución
Mientras seguíamos la campaña, notamos que los actores de amenazas usaban "ping" para probar si un servidor remoto está disponible antes de acceder a él. La Figura 10 muestra una de las pruebas realizadas por Earth Estries, al mismo tiempo que nuestro seguimiento encontró que los actores de la amenaza intentaron ver si el servidor remoto con la dirección IP 103.133.137[.]157 está disponible.
Además, Earth Estries utilizó algunas herramientas y TTP que se superponen con FamousSparrow. Comparamos el cargador de puerta trasera utilizado en esta campaña con el cargador mencionado en el informe anterior. En cuanto a los TTP, Earth Estries también tiende a utilizar archivos .CAB para implementar su malware y su conjunto de herramientas en el entorno de la víctima, lo que reforzó el seguimiento que encontramos y los informes iniciales de los países responsables de los ataques.
Conclusión
Earth Estries es un sofisticado grupo de hackers que ha estado activo desde al menos 2020 y que se centra en desplegar campañas de ciberespionaje. Se dirige a organizaciones gubernamentales y tecnológicas en varios países y es capaz de implementar técnicas avanzadas como el uso de múltiples puertas traseras y herramientas de piratería para obtener acceso a sus objetivos.
Al comprometer los servidores internos y las cuentas válidas, los actores de amenazas pueden realizar movimientos laterales dentro de la red de la víctima y llevar a cabo sus actividades maliciosas de forma encubierta. El uso de Zingdoor como parte de la rutina para garantizar que la puerta trasera no se pueda descomprimir fácilmente genera desafíos adicionales para los analistas y equipos de seguridad para dificultar el análisis. También utilizan técnicas como ataques de degradación de PowerShell y novedosas combinaciones de descarga de DLL para evadir la detección. Además, las similitudes de código y TTP entre Earth Estries y FamousSparrow sugieren una posible conexión entre ellos. Otras pruebas, como las direcciones IP rastreadas y los temas de formato técnico comunes observados en su funcionamiento, indican fuertes vínculos que pueden investigarse y analizarse más a fondo.
Comprender los métodos utilizados por Earth Estries puede ayudar a las organizaciones a mejorar sus medidas de seguridad y proteger sus activos digitales. Es esencial que las personas y las empresas se mantengan alerta y tomen las medidas necesarias para mejorar su ciberseguridad y protegerse contra este tipo de campañas de ciberespionaje. Trend Vision One™ proporciona equipos y analistas de seguridad para visualizar todos los componentes separados de la organización desde una única plataforma para monitorear y rastrear las herramientas, comportamientos y cargas útiles a medida que la rutina intenta moverse y ejecutarse en las redes, sistemas e infraestructura de la organización. al mismo tiempo que detecta y bloquea las amenazas lo más lejos posible del ataque o la rutina de infección.
ATT&CK DE INGLETE
Indicadores de compromiso (IOC)
Descargue la lista de COI aquí.
Ted Lee
Investigador de amenazas
Lenart Bermejo
Analista de amenazas
Hara Hiroaki
Especialista en tecnología del cliente
Leon Chang
Investigador senior de amenazas
Gilberto Sison
Analista de amenazas