Gut organisierte Gruppe mit klarer Arbeitsteilung


Recherche: Earth Estries – eine Analyse der Angriffstechniken
Earth Estries hat seit 2023 vor allem kritische Sektoren wie Telekommunikation und Regierungsstellen in den USA, im asiatisch-pazifischen Raum, im Nahen Osten und in Südafrika ins Visier genommen


Blogbeitrag von Trend Micro

Die vom BSI als in Deutschland aktiv gelistete APT-Gruppe Earth Estries (auch bekannt als Salt Typhoon, FamousSparrow, GhostEmperor und UNC2286) wurde von Trend Micro in einem neuen Blogbeitrag detailliert analysiert. Die Gruppe nimmt aggressiv kritische Branchen weltweit ins Visier, um diese auszuspionieren. Die Analyse gibt Einblicke in ihre langfristigen gezielten Angriffe, wo sie ausgeklügelte Techniken und neue Backdoors nutzt.

Zusammenfassung
>> Earth Estries hat seit 2023 vor allem kritische Sektoren wie Telekommunikation und Regierungsstellen in den USA, im asiatisch-pazifischen Raum, im Nahen Osten und in Südafrika ins Visier genommen.
>> Die Gruppe setzt fortschrittliche Angriffstechniken und mehrere Backdoors wie GHOSTSPIDER, SNAPPYBEE und MASOL RAT ein.
>> Die Akteure nutzen Schwachstellen in öffentlich zugänglichen Servern aus, um einen ersten Zugang zu erhalten, und verwenden Binärdateien, die sich von selbst replizieren, um sich lateral in Netzwerken zu bewegen, Malware zu verbreiten und langfristige Spionage zu betreiben.
>> Earth Estries nutzt eine komplexe C&C-Infrastruktur, die von verschiedenen Teams verwaltet wird, und ihre Operationen überschneiden sich oft mit TTPs anderer bekannter chinesischer APT-Gruppen, was auf die mögliche Nutzung gemeinsamer Tools von Malware-as-a-Service-Anbietern hindeutet.

Seit 2023 hat sich Earth Estries zu einer der aggressivsten chinesischen Advanced-Persistent-Threat-Gruppen (APT) entwickelt, die vor allem kritische Branchen wie Telekommunikationsunternehmen und Regierungsstellen in den USA, im asiatisch-pazifischen Raum, im Nahen Osten und in Südafrika ins Visier nimmt.

Unsere jüngste Untersuchung der Angriffe und der Gruppe hat als eines der wichtigen Ergebnis zur Entdeckung einer neuen Backdoor, GHOSTSPIDER, geführt, die bei Angriffen auf südostasiatische Telekommunikationsunternehmen eingesetzt wurde. Es zeigte sich des Weiteren, dass die Gruppe die modulare Backdoor SNAPPYBEE (auch bekannt als Deed RAT) verwendet, ein weiteres Tool, das unter chinesischen APT-Gruppen geteilt wird.

Earth Estries nutzt auch eine weitere plattformübergreifende Backdoor, die wir bereits bei der Untersuchung von Vorfällen in südostasiatischen Regierungen 2020 identifiziert haben und aufgrund ihrer PDB-Zeichenfolge MASOL RAT nannten. Damals gab es begrenzte Informationen, sodass MASOL RAT keiner bekannten Bedrohungsgruppe zuzuordnen war. Nun aber beobachteten wir, dass Earth Estries MASOL RAT auf Linux-Geräten einsetzt, die auf Netzwerke südostasiatischer Regierungen abzielen.

Vor kurzem stellten wir fest, dass Microsoft die APT-Gruppen FamousSparrow und GhostEmperor unter dem Namen Salt Typhoon untersucht hat. Wir haben jedoch keine ausreichenden Beweise dafür, dass Earth Estries mit den jüngsten Nachrichten über einen Cyberangriff von Salt Typhoon in Verbindung steht, da wir keinen detaillierteren Bericht über Salt Typhoon gesehen haben. Derzeit können wir nur bestätigen, dass sich einige der Taktiken, Techniken und Verfahren (TTPs) von Earth Estries mit denen von FamousSparrow und GhostEmperor überschneiden.

Motivation
Seit 2020 führt Earth Estries anhaltende Angriffe auf Regierungen und Internetdienstanbieter durch. Mitte 2022 begannen die Angreifer auch, Dienstleister für Regierungen und Telekommunikationsunternehmen ins Visier zu nehmen, so etwa 2023 Beratungsfirmen und NGOs, die mit der US-Bundesregierung und dem Militär zusammenarbeiten. Damit wollen die Kriminellen effizienter Informationen sammeln und ihre Hauptziele schneller angreifen.

Vor allem nehmen die Angreifer nicht nur kritische Dienste (wie Datenbank- und Cloud-Server) des Telekommunikationsunternehmens ins Visier, sondern auch dessen Lieferantennetzwerk. So stellten wir fest, dass sie das DEMODEX-Rootkit auf den Rechnern der Lieferanten installiert haben. Dieser Lieferant ist ein Hauptauftragnehmer für den wichtigsten Telekommunikationsanbieter der Region, und wir denken, dass das Ziel war, den Zugang zu weiteren Zielen zu erleichtern.

Die APT-Gruppe kompromittierte erfolgreich mehr als 20 Organisationen in Bereichen wie Telekommunikation, Technologie, Beratung, Chemie und Transportwesen, Regierungsbehörden und gemeinnützige Organisationen (NGOs). Die Opfer kamen aus zahlreichen Ländern.

Erstzugang
Earth Estries zielt aggressiv auf öffentlich zugängliche Server der Opfer und nutzt N-Day Schwachstellen aus. Nachdem sie die Kontrolle über den anfälligen Server erlangt haben, setzen die Angreifer LOLBINs (Living-off-the-Land Binaries) wie WMIC.exe und PSEXEC.exe für laterale Bewegungen ein und angepasste Malware wie SNAPPYBEE, DEMODEX und GHOSTSPIDER, um langfristige Spionageaktivitäten gegen ihre Ziele durchzuführen.

Überblick über die Kampagnen
Unsere Analyse deutet darauf hin, dass Earth Estries eine gut organisierte Gruppe mit einer klaren Arbeitsteilung ist. Basierend auf Beobachtungen aus mehreren Kampagnen vermuten wir, dass Angriffe, die auf verschiedene Regionen und Branchen abzielen, von unterschiedlichen Akteuren lanciert werden. Darüber hinaus scheint die C&C-Infrastruktur, die von verschiedenen Backdoors genutzt wird, von unterschiedlichen Infrastrukturteams verwaltet zu werden, was die Komplexität der Operationen der Gruppe weiter unterstreicht. (Trend Micro: ra)

eingetragen: 11.12.24
Newsletterlauf: 24.02.25

Trend Micro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Phishing macht ein Drittel der Angriffe aus 15.000 Anmeldedaten für Cloud-Dienste

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen