Группа хакеров Earth Estries направляет свои усилия на глобальные индустрии в рамках шпионских кампаний

Земные Эстри, китайская группа хакеров, нацеливается на глобальные отрасли с помощью продвинутого вредоносного ПО, используя уязвимости и проводя долгосрочную шпионажную деятельность в ключевых секторах.

Salt Typhoon недавно привлек внимание своей кампанией шпионажа, связанной с Китаем, в результате которой были скомпрометированы такие телекоммуникационные гиганты США, как Verizon, AT&T, Lumen Technologies и T-Mobile, о чем сообщается в The Record. По сообщениям, злоумышленники получили доступ к данным звонков клиентов, сосредоточив внимание на лицах, связанных с правительственной деятельностью или политическими активностями.

В понедельник, кибербезопасная компания Trend Micro сообщила о новой кампании, связанной с Earth Estries, их термином для обозначения Salt Typhoon, которая нацелена на телекоммуникационные компании Юго-Восточной Азии с помощью нового инструмента для взлома под названием GhostSpider.

Китайская группа кибершпионажа, Earth Estries, с 2023 года нацеливается на критически важные отрасли по всему миру, включая телекоммуникационный и государственный сектора.

Группа проникла в более чем 20 организаций по всей территории США, стран Азиатско-Тихоокеанского региона, Ближнего Востока и Южной Африки, используя продвинутые методы для проведения долгосрочных шпионских операций. Среди жертв также компании из сфер технологий, консалтинга, химической промышленности и транспортной отрасли, а также некоммерческие организации и государственные агентства.

Earth Estries использует уязвимости в общедоступных серверах для первоначального доступа, используя легитимные инструменты системы, известные как «живые двоичные файлы на месте», для незаметного перемещения внутри сетей.

Оказавшись внутри, группа использует специализированные вредоносные программы, такие как GHOSTSPIDER, SNAPPYBEE и MASOL RAT, чтобы установить контроль и извлечь конфиденциальную информацию.

Недавние атаки показали, что GHOSTSPIDER, модульная «задняя дверь», разработана для загрузки различных инструментов для определенных задач, позволяя группе адаптировать свои тактики и избегать обнаружения. Действия группы свидетельствуют о высоком уровне координации, с различными командами, управляющими конкретными аспектами их кампаний.

Пересечения в их тактике, методах и процедурах с другими китайскими хакерскими группами предполагают использование общих инструментов, возможно через подпольные рынки, предлагающие вредоносное ПО в качестве услуги.

Исследования группы Earth Estries показали их основное внимание к телекоммуникациям и государственным сетям, часто целятся на системы поставщиков, чтобы косвенно получить доступ к своим основным целям.

В одном случае они использовали руткит DEMODEX для взлома машин, принадлежащих крупному телекоммуникационному подрядчику, что позволило им расширить свое влияние незаметно.

Аналитики отмечают, что операции Earth Estries охватывают все — от периферийных устройств до облачных систем, что делает их особенно трудными для идентификации и устранения.

Их методы включают использование уязвимостей серверов и применение сложных инструментов для поддержания постоянного присутствия в сетях их целей. Эксперты предупреждают, что деятельность Earth Estries демонстрирует растущую сложность кибершпионских кампаний.

Организации настоятельно рекомендуют усилить свою защиту в области кибербезопасности, устраняя известные уязвимости, контролируя активность в сети и внедряя продвинутые системы обнаружения угроз для своевременного обнаружения и блокирования атак на ранних стадиях.

Trend Micro подчеркивает необходимость превентивных мер, поскольку Earth Estries продолжает развивать свои стратегии, представляя серьезную угрозу для мировых отраслей и правительств.