Ataques APT de 'Earth Estries' atingem o governo e a tecnologia com malware personalizado

Jul 24, 2023

Um ator de ameaça recentemente identificado está roubando discretamente informações de governos e organizações de tecnologia em todo o mundo.

A campanha em andamento é cortesia da "Earth Estries". O grupo até então desconhecido existe pelo menos desde 2020, de acordo com um novo relatório da Trend Micro, e se sobrepõe até certo ponto a outro grupo de espionagem cibernética, o FamousSparrow. Embora os alvos tendam a vir dos mesmos setores, eles abrangem todo o mundo, dos EUA às Filipinas, Alemanha, Taiwan, Malásia e África do Sul.

Earth Estries tem uma tendência para usar o sideload de DLL para executar qualquer um de seus três malwares personalizados – dois backdoors e um infostealer – junto com outras ferramentas como Cobalt Strike. “Os atores de ameaças por trás do Earth Estries estão trabalhando com recursos de alto nível e funcionando com habilidades sofisticadas e experiência em espionagem cibernética e atividades ilícitas”, escreveram os pesquisadores da Trend Micro.

Earth Estries possui três ferramentas exclusivas de malware: Zingdoor, TrillClient e HemiGate.

Zingdoor é um backdoor HTTP desenvolvido pela primeira vez em junho de 2022, implantado apenas em instâncias limitadas desde então. Ele é escrito em Golang (Go), oferecendo recursos de plataforma cruzada e repleto de UPX. Ele pode recuperar informações do sistema e dos serviços do Windows; enumerar, fazer upload ou download de arquivos; e execute comandos arbitrários em uma máquina host.

TrillClient é uma combinação de instalador e infostealer, também escrito em Go e empacotado em um arquivo de gabinete do Windows (.cab). O ladrão foi projetado para coletar credenciais do navegador, com a capacidade adicional de agir ou dormir sob comando, ou em intervalos aleatórios, com o objetivo de evitar a detecção. Junto com o Zingdoor, ele possui um ofuscador personalizado projetado para dificultar as ferramentas de análise.

A ferramenta mais multifacetada do grupo é o backdoor HemiGate. Este malware multifuncional de várias instâncias inclui recursos para keylogging, captura de capturas de tela, execução de comandos e monitoramento, adição, exclusão e edição de arquivos, diretórios e processos.

Em abril, pesquisadores observaram Earth Estries usando contas comprometidas com privilégios administrativos para infectar servidores internos de uma organização; os meios pelos quais essas contas foram comprometidas são desconhecidos. Ele plantou o Cobalt Strike para estabelecer uma posição no sistema e, em seguida, usou o bloco de mensagens do servidor (SMB) e a linha de comando WMI para trazer seu próprio malware para o grupo.

Em seus métodos, Earth Estries dá a impressão de uma operação limpa e deliberada.

Por exemplo, para executar seu malware em uma máquina host, ele opta de forma confiável pelo método complicado de carregamento lateral de DLL. E, explicaram os pesquisadores, “os atores da ameaça limpavam regularmente seu backdoor existente após terminar cada rodada de operação e reimplantavam um novo malware quando iniciavam outra rodada. Acreditamos que eles fazem isso para reduzir o risco de exposição e detecção”.

O sideload de DLL e outra ferramenta que o grupo usa – Fastly CDN – são populares entre subgrupos APT41 como Earth Longzhi. A Trend Micro também encontrou sobreposições entre o backdoor loader do Earth Estries e o FamousSparrow. Ainda assim, a origem exata dos Estries da Terra não é clara. Também não ajuda o facto de a sua infra-estrutura C2 estar espalhada por cinco continentes, abrangendo todos os hemisférios da Terra: do Canadá à Austrália, da Finlândia ao Laos, com a maior concentração nos EUA e na Índia.

Os investigadores poderão aprender mais sobre o grupo em breve, uma vez que a sua campanha contra organizações governamentais e tecnológicas em todo o mundo continua até hoje.