Сетевые мародёры: откуда взялись и к чему стремятся хакеры Earth Estries

Сетевые мародёры: откуда взялись и к чему стремятся хакеры Earth Estries

Киберпреступники работают сразу по четырём континентам, что говорит об их глобальных амбициях.

image

Группа хакеров под псевдонимом Earth Estries стоит за новой масштабной кампанией кибершпионажа, нацеленной на правительственные учреждения и технологические компании Филиппин, Тайваня, Малайзии, Южной Африки, Германии и США.

По словам исследователей компании Trend Micro, хакеры из Earth Estries действуют со значительными ресурсами и обладают большим опытом в области кибершпионажа. Группа активна как минимум с 2020 года. Её тактика пересекается с другой группой под названием FamousSparrow, впервые обнаруженной ESET в 2021 году.

FamousSparrow эксплуатировала уязвимости ProxyLogon в Microsoft Exchange для взлома организаций в сфере гостиничного бизнеса, правительства, инженерии и юриспруденции.

Как отмечают эксперты, у FamousSparrow и Earth Estries также есть общие черты с группой UNC4841, ответственной за использование недавно обнаруженной 0-day уязвимости в решениях Barracuda ESG.

Хакеры используют Cobalt Strike для закрепления во взломанных системах, после чего быстро развёртывают дополнительные вредоносные программы для расширения контроля. В их арсенал входят различные бэкдоры и инструменты для сбора данных, в том числе Zingdoor, TrillClient и HemiGate.

Чтобы избежать обнаружения, злоумышленники регулярно очищают и переразвёртывают свои бэкдоры на заражённых хостах. Они также используют метод DLL Sideloading и атаки с понижением версий PowerShell для обхода механизмов обнаружения.

Для передачи команд и украденных данных хакеры злоупотребляют публичными сервисами вроде Github, Gmail и File.io. Большинство их серверов управления находятся в США, Индии, Австралии, Канаде и других странах.

Путём компрометации внутренних серверов злоумышленники получают возможность незаметно перемещаться внутри сети жертвы и проводить вредоносную деятельность. А сочетание методов социальной инженерии и технических приёмов, таких как атаки с понижением версии PowerShell, позволяет им действовать максимально скрытно.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум