Сетевые мародёры: откуда взялись и к чему стремятся хакеры Earth Estries

Группа хакеров под псевдонимом Earth Estries стоит за новой масштабной кампанией кибершпионажа, нацеленной на правительственные учреждения и технологические компании Филиппин, Тайваня, Малайзии, Южной Африки, Германии и США.

По словам исследователей компании Trend Micro, хакеры из Earth Estries действуют со значительными ресурсами и обладают большим опытом в области кибершпионажа. Группа активна как минимум с 2020 года. Её тактика пересекается с другой группой под названием FamousSparrow, впервые обнаруженной ESET в 2021 году.

FamousSparrow эксплуатировала уязвимости ProxyLogon в Microsoft Exchange для взлома организаций в сфере гостиничного бизнеса, правительства, инженерии и юриспруденции.

Как отмечают эксперты, у FamousSparrow и Earth Estries также есть общие черты с группой UNC4841, ответственной за использование недавно обнаруженной 0-day уязвимости в решениях Barracuda ESG.

Хакеры используют Cobalt Strike для закрепления во взломанных системах, после чего быстро развёртывают дополнительные вредоносные программы для расширения контроля. В их арсенал входят различные бэкдоры и инструменты для сбора данных, в том числе Zingdoor, TrillClient и HemiGate.

Чтобы избежать обнаружения, злоумышленники регулярно очищают и переразвёртывают свои бэкдоры на заражённых хостах. Они также используют метод DLL Sideloading и атаки с понижением версий PowerShell для обхода механизмов обнаружения.

Для передачи команд и украденных данных хакеры злоупотребляют публичными сервисами вроде Github, Gmail и File.io. Большинство их серверов управления находятся в США, Индии, Австралии, Канаде и других странах.

Путём компрометации внутренних серверов злоумышленники получают возможность незаметно перемещаться внутри сети жертвы и проводить вредоносную деятельность. А сочетание методов социальной инженерии и технических приёмов, таких как атаки с понижением версии PowerShell, позволяет им действовать максимально скрытно.