今年早些时候,我们发现了一个名为 Earth Estries 的黑客组织发起的新网络间谍活动。根据我们的观察,Earth Estries 至少自 2020 年起就一直活跃。我们还发现 Earth Estries 使用的战术、技术和程序 (TTP) 与另一个高级持续威胁 (APT) 组织 FamousSparrow 使用的战术、技术和程序 (TTP) 之间存在一些重叠。
从此次持续活动中使用的工具和技术的总体概述来看,我们认为 Earth Estries 背后的威胁行为者正在利用高级资源,并在网络间谍和非法活动方面拥有复杂的技能和经验。威胁行为者还使用多个后门和黑客工具来增强入侵向量。为了尽可能减少足迹,他们使用 PowerShell 降级攻击来避免 Windows 反恶意软件扫描接口 (AMSI) 日志记录机制的检测。此外,攻击者还滥用 Github、Gmail、AnonFiles 和 File.io 等公共服务来交换或传输命令和窃取的数据。
这项积极的活动针对菲律宾、台湾、马来西亚、南非、德国和美国的政府和技术行业组织。我们在本条目中详细介绍了我们的发现和技术分析,以指导安全团队和组织审查各自数字资产的状态,并帮助他们增强现有的安全配置。
感染载体
图1 Earth Estries的攻击流程
我们发现 Earth Estries 在成功感染组织的一台内部服务器后,以管理权限危害现有帐户。通过在系统上安装 Cobalt Strike,Earth Estries 背后的攻击者能够部署更多恶意软件并执行横向移动。通过服务器消息块 (SMB) 和 WMI 命令行 (WMIC),威胁行为者在受害者环境中的其他计算机中传播后门和黑客工具。在一系列部署的每轮操作结束时,他们将从指定文件夹中归档收集的数据。根据我们的样本和分析,威胁行为者以 PDF 和 DDF 文件为目标,并使用curl.exe将这些文件上传到在线存储库 AnonFiles 或 File.io。
我们还注意到,威胁行为者在完成每一轮操作后定期清理其现有后门,并在开始另一轮操作时重新部署新的恶意软件。我们相信他们这样做是为了降低暴露和检测的风险。
后门和黑客工具
我们观察到威胁行为者在这次活动中使用了各种工具,包括信息窃取程序、浏览器数据窃取程序和端口扫描程序等。在本节中,我们将重点关注新发现的和值得注意的工具集,并讨论它们的技术细节。
Zingdoor
Zingdoor 是一个用 Go 编写的新 HTTP 后门。虽然我们第一次遇到 Zingdoor 是在 2023 年 4 月,但一些日志表明该后门的最早开发发生在 2022 年 6 月。然而,它很少在野外出现,并且只观察到在有限数量的受害者中使用,很可能作为新设计的具有跨平台功能的后门。Zingdoor 使用 UPX 进行打包,并通过自定义混淆器引擎进行严重混淆。
我们注意到Zingdoor采用了反UPX解包技术。通常,UPX 的魔数是“UPX!”,但在本例中它被修改为“MSE!”,UPX 应用程序无法解压此修改后的文件。这种技术在物联网 (IoT) 类型的恶意软件中很简单,但在 APT 活动中被认为很少见。
Zingdoor 伪装成 mpclient.dll,旨在通过滥用 Windows Defender 二进制文件 MsSecEs.exe 通过 DLL 侧载运行。运行可执行文件后,Zingdoor 将当前父进程注册为名为“MsSecEsSvc”的 Windows 服务以实现持久性并启动它。作为服务进程,Zingdoor 连接并等待来自命令与控制 (C&C) 服务器的命令。基于后门定义的功能,它支持以下功能:
1、获取系统信息
2、获取Windows服务信息
3、磁盘管理(文件上传/下载、文件枚举)
4、运行任意命令
图2. 用于反UPX解包技术的修改后的UPX标头
Trill客户端
TrillClient 工具集是一个信息窃取程序,旨在窃取浏览器数据,打包在单个压缩文件 (.cab) 中,并通过实用程序应用程序Expand.exe提取。CAB 文件包含 TrillClient 安装程序和窃取程序。根据不同的参数,安装程序执行以下行为:
表 1.TrillCient 客户端参数和行为
由于 TrillClient 是一个用 Go 编写的自定义浏览器数据窃取器,因此它被用于反分析的自定义混淆器严重混淆。启动后,它会查找安装程序创建的受害者列表7C809B4866086EF7FB1AB722F94DF5AF493B80DB 。然后,它连接到 GitHub 存储库以检索下一组操作的命令。存储库地址在恶意软件中硬编码如下:
hxxps://raw[.]githubusercontent[.]com/trillgb/codebox/main/config.json
图 3.“config.json”的示例内容
Value.name是受害者ID,而value.value是命令。收到此配置后,TrillClient会在value.name列表中查找自己的受害者ID,并根据value.value定义的命令执行恶意活动。TrillClient 支持以下命令:
表 2. TrillCient 命令和功能
TrillClient 窃取以下目录中的敏感数据:
%LOCALAPPDATA%GoogleChromeUser DataLocal State
%LOCALAPPDATA%GoogleChromeUser Data\Login Data
%LOCALAPPDATA%GoogleChromeUser Data\NetworkCookies
%APPDATA%MicrosoftProtect*收集的数据将临时复制到 ,使用 .tar 命令存档,并使用 XOR 算法加密。然后收集的数据将通过 SMTP(简单邮件传输协议)发送到威胁参与者的电子邮件帐户trillgamby@gmail[.]com 。TrillClient 的另一个值得注意的功能是它能够更新其版本。由于下载的配置中定义的“version”值比当前版本号新,因此它将从 GitHub 存储库下载较新的版本并自行更新。
HemiGate
HemiGate 是 Earth Estries 使用的后门。与该威胁行为者使用的大多数工具一样,该后门也是使用支持可互换有效负载的加载器之一通过 DLL 侧面加载执行的。来自K7Computing的K7AVMScn.exe是该后门使用的侧面加载主机,而加载程序则伪装成K7AVWScn.dll。主要后门是一个名为taskhask.doc的加密文件,另一个名为taskhask.dat的加密文件作为配置文件。
图 4. HemiGate 侧面加载序列
HemiGate 通过端口 443 与其 C&C 服务器通信,并在环境需要时通过代理执行连接。C&C服务器是从配置文件中获取的,主要包含C&C服务器和端口组合。配置文件使用 RC4 加密和密钥4376dsygdYTFde3进行解密。该 RC4 密钥还用于后门在其大多数例程中执行的其他加密/解密功能。使用 POST 方法与服务器进行通信,并使用以下预定义标头:
图 5. HemiGate 通信标头
HemiGate 在三个实例中执行:
第一个例子。该实例在没有任何参数的情况下启动。其主要目的是安装启动机制并执行第二个实例。一旦其目的完成,该实例将终止。
启动 1.在自动启动注册表中创建一个名为“Windrive”的条目。
启动 2.创建名为“Windrive”的服务,其完整服务名称为“Windows Drive Security”作为另一种启动机制。
第二个实例:使用/a参数执行,该实例负责读取配置文件并与 C&C 服务器通信。它还充当启动器,并将通过命名管道与第三个实例通信。此外,第二个实例执行以下功能:
更新配置
通过管道接收键盘记录器功能捕获的数据并将其记录到文件中
充当第三个实例的监视器
满足参数或管道通信失败时直接执行后门命令
如果来自C&C的参数为真并且管道通信成功,则将后门命令执行传递给第三个实例
如果从 C&C 收到命令,则执行完全卸载
第三个例子。该实例使用/u 参数启动。以下是它的两个主要功能:
执行键盘记录程序例程并通过管道通信将捕获的数据传递给第二个实例
键盘记录器通信通过\[.]pipeKey[500]完成
打开管道来接收并执行第二个实例传递的命令
通过\[.]pipe\[]接收命令
图 6. HemiGate 进程树
键盘记录器功能通过创建具有预定义“静态”类的窗口来利用非交互式静态控制窗口。然后,只要窗口保持活动状态,计时器功能就会与键盘挂钩一起使用,以连续记录活动窗口上的击键。使用以下结构记录击键:
用户:登录时的活跃用户
标题:活动窗口标题
时间:击键日志的时间(格式:dd/mm hh:mm:ss)
键:记录的击键
除了键盘记录器之外,还可以使用以下功能:
1、目录监控:设置目录通知句柄,用于接收目标目录中添加文件、删除文件、文件更改以及文件名更改(记录新旧名称)的通知。记录的更改存储在名为“fm”的文件中。
2、文件内容读/写:允许将内容写入目标文件或读取目标文件的内容。
3、文件操作:执行枚举驱动器、移动、复制、重命名或删除文件、创建目录或使用默认应用程序打开文件等操作。
4、Shell:启动交互式命令 shell。
5、CMD:通过cmd执行命令(一次性执行)。
6、屏幕截图:截取活动桌面窗口的屏幕截图。
7、进程监视器:枚举当前正在运行的进程并允许终止目标进程。
大量使用 DLL 旁加载
我们观察到 Earth Estries 严重依赖 DLL 侧面加载来加载其武器库中的各种工具。除了前面提到的后门之外,该入侵装置还利用常用的远程控制工具,例如 Cobalt Strike、PlugX 或 Meterpreter stager,在各个攻击阶段可互换。这些工具是由自定义加载程序 DLL 加载的加密有效负载。
所使用的加载程序的一个显着特征是解密密钥位于加密的有效负载中。我们观察到,该入侵集利用相同的加载程序文件,同时在同一目标环境中加载不同的有效负载。
在我们的调查过程中,我们了解了 Earth Estries 使用的几种侧载组合,并将其列举在下表中:
表 3. Earth Estries 滥用的合法可执行文件和旁加载 DLL
总的来说,我们观察到的 DLL 旁加载攻击是针对较旧版本的合法文件(有些甚至是十年前的版本),目的是将它们转换为 LOLBins。攻击者正在使用这种机会主义策略,希望他们被安全产品忽略。这种情况使得实施版本控制和应用程序基线来检测异常并防止攻击者在企业环境中站稳脚跟变得更加重要。
C&C服务器基础设施
我们观察到 Earth Estries 使用的一些 Cobalt Strike 植入程序利用 Fastly CDN 服务来隐藏实际 IP 地址。我们之前还观察到一些APT41相关组织(例如 Earth Longzhi 和 GroupCC)在其他活动中使用了 Fastly CDN 。
通过研究从受害者环境中观察到的其他 Earth Estries 的 C&C 活动,我们在注册人信息中发现了一些值得注意的数据,如下所示:
表 4. WHOIS 协议引用的 C&C 活动信息
表 4 中观察到的域是从真实事件中观察到的。根据公共存储库,这些 C&C 域共享相同的注册人信息。我们推断域名在注册人信息方面有偏好。此外,这些域共享相似的 C&C 地址格式,我们在跟踪其操作时观察到其中一些格式。虽然我们正在进行调查以确定这些域和注册者数据是否与威胁行为者相关,但我们确实知道这些信息可用于控制其他相关的 C&C 域(可能由同一组织使用)。
根据注册人信息,我们发现了威胁行为者注册的更多旧域名记录。
表 5. 关键字“德旺贸易有限公司”的注册域名历史记录
表 6. 关键字“3280132818@qq.com”的注册域名历史记录
检查所有域名后,我们发现smartlinkcorp[.]net从公共存储库和威胁情报社区获取了最多的信息。深入研究该域名,我们发现了相关子域名的记录“ ns2.smartlinkcorp[.]net”。此外,Cobalt Strike 曾托管在ns2.smartlinkcor[.]net上,水印为2029527128。根据水印,我们发现了更多相关域名和IP记录。
图 7. 发现的 Cobalt Strike 记录
从这些 Cobalt Strike 记录中,我们注意到两个新域名,digitelela[.]com和z7-tech[.]com,我们在最初的调查中没有观察到。然后,我们根据注册人信息发现了威胁行为者可能使用的另一个域名。
表 7. 关键字“3087384364@qq[.]com”之后的注册域名历史记录
与我们在表 4 中列出的域名集一样,有一些常见的信息,例如在这些域名和子域名下派生的国家/地区注册。具体来说,这些域遵循ns{number}.{domain}格式,专为 Cobalt Strike 信标通过 DNS 隧道发送和接收命令而设计。
cdn-xxxxx.{domain}
cdnxxxxxxxx.{domain}
xxxxxx.ns1.{domain}
xxxxxx.ns2.{domain}
xxxxxx.ns3.{domain}
xxxxxx.ns4.{domain}分析上述C&C域名和解析的IP地址,我们发现它们的C&C服务器托管在位于不同国家的虚拟专用服务器(VPS)服务上。我们在这里总结一下C&C服务器的分布:
图 8. Earth Estries 使用的 C&C 服务器服务热图分布
受害地区
根据我们的调查,Earth Estries 的攻击目标和尝试主要针对菲律宾、台湾、马来西亚、南非、德国和美国的政府相关组织和科技公司。我们还观察了加拿大 C&C 服务器的网络流量以及印度和新加坡工具集检测的发生情况,使这些地区可能受到严重影响。已确定国家的组织不仅应重新检查其系统是否存在可能的入侵和未经授权的流量交换,而且还应加强其现有的安全措施。
图 9. 目标国家和潜在受影响国家的分布
归纳
在跟踪活动时,我们注意到威胁参与者在访问远程服务器之前使用“ping”来测试远程服务器是否可用。图 10 显示了 Earth Estries 执行的测试之一,同时我们的跟踪发现威胁行为者试图查看 IP 地址为 103.133.137[.]157 的远程服务器是否可用。
图 10. 跟踪 Earth Estries 的 ping 测试示例(使用 Trend Vision One™ 截取的屏幕截图)
此外,Earth Estries 使用了一些与 FamousSparrow 重叠的工具和 TTP。我们将此次活动中使用的后门加载程序与之前报告中提到的加载程序进行了比较。至于 TTP,Earth Estries 还倾向于使用 .CAB 文件将其恶意软件和工具集部署到受害者的环境中,这加强了我们发现的跟踪以及对攻击负责的最初国家/地区报告。
图 11. 先前报告中提到的加载程序(左)和我们从最新活动中观察到的加载程序(右)
结论
Earth Estries 是一个复杂的黑客组织,至少自 2020 年以来一直活跃,专注于部署网络间谍活动。它以各国政府和技术组织为目标,能够实施先进技术,例如使用多个后门和黑客工具来访问其目标。
通过破坏内部服务器和有效帐户,威胁行为者可以在受害者网络内进行横向移动并秘密进行恶意活动。使用 Zingdoor 作为例行程序的一部分,确保后门无法轻易解压,这给分析师和安全团队带来了额外的挑战,使分析变得更加困难。他们还使用 PowerShell 降级攻击和新颖的 DLL 侧载组合等技术来逃避检测。此外,Earth Estries 和 FamousSparrow 之间的代码相似性和 TTP 表明它们之间可能存在联系。其他证据,例如跟踪的 IP 地址和在其操作中观察到的常见技术格式化主题,表明可以进一步调查和分析的紧密联系。
MITRE ATT&CK
IOC
转载来源:https://www.trendmicro.com/en_us/research/23/h/earth-estries-targets-government-tech-for-cyberespionage.html
图片来源网络侵权可联系删除
