Se ha observado que el actor de amenazas vinculado a China conocido como Earth Estries utiliza una puerta trasera previamente indocumentada llamada GHOSTSPIDER como parte de sus ataques dirigidos a empresas de telecomunicaciones del sudeste asiático.
Trend Micro, que describió al grupo de hackers como una agresiva amenaza persistente avanzada (APT), dijo que las intrusiones también implicaron el uso de otra puerta trasera multiplataforma denominada MASOL RAT (también conocida como Backdr-NQ) en sistemas Linux pertenecientes a redes gubernamentales del sudeste asiático.
En total, se estima que Earth Estries ha comprometido con éxito a más de 20 entidades que abarcan industrias de telecomunicaciones, tecnología, consultoría, química y transporte, agencias gubernamentales y sectores de organizaciones sin fines de lucro (ONG).
Se han identificado víctimas en más de una docena de países, incluidos Afganistán, Brasil, Eswatini, India, Indonesia, Malasia, Pakistán, Filipinas, Sudáfrica, Taiwán, Tailandia, Estados Unidos y Vietnam.
Las acciones de Earth Estries se superponen con grupos rastreados por otros proveedores de ciberseguridad con los nombres FamousSparrow, GhostEmperor, Salt Typhoon y UNC2286. Se dice que está activo desde al menos 2020, aprovechando una amplia gama de familias de malware para violar entidades gubernamentales y de telecomunicaciones en los EE. UU., la región de Asia-Pacífico, Medio Oriente y Sudáfrica.
Según un informe del Washington Post de la semana pasada, se cree que el grupo de hackers ha penetrado en más de una docena de empresas de telecomunicaciones sólo en Estados Unidos. El gobierno de Estados Unidos ha identificado y notificado hasta 150 víctimas.
La cadena de infección del rootkit DEMODEX |
Algunas de las herramientas notables en su cartera de malware incluyen el rootkit Demodex y Deed RAT (también conocido como SNAPPYBEE), un presunto sucesor de ShadowPad, que ha sido ampliamente utilizado por varios grupos APT chinos. El actor de amenazas también utiliza puertas traseras y ladrones de información como Crowdoor, SparrowDoor, HemiGate, TrillClient y Zingdoor.
El acceso inicial a las redes de destino se ve facilitado por la explotación de fallas de seguridad de N días en Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887), Fortinet FortiClient EMS (CVE-2023-48788), Sophos Firewall (CVE- 2022-3236), Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, también conocido como ProxyLogon).
Flujo de infección de GHOSTPIDER |
Luego, los ataques allanaron el camino para la implementación de malware personalizado, como Deed RAT, Demodex y GHOSTSPIDER, para llevar a cabo actividades de ciberespionaje a largo plazo.
“Earth Estries es un grupo bien organizado con una clara división del trabajo”, dijeron los investigadores de seguridad Leon M Chang, Theo Chen, Lenart Bermejo y Ted Lee. “Basándonos en observaciones de múltiples campañas, especulamos que diferentes actores lanzan ataques dirigidos a diferentes regiones e industrias”.
“Además, la infraestructura (de comando y control) utilizada por varias puertas traseras parece ser administrada por diferentes equipos de infraestructura, lo que resalta aún más la complejidad de las operaciones del grupo”.
GHOSTSPIDER, un implante sofisticado y multimodular, se comunica con la infraestructura controlada por atacantes mediante un protocolo personalizado protegido por Transport Layer Security (TLS) y obtiene módulos adicionales que pueden complementar su funcionalidad según sea necesario.
“Earth Estries lleva a cabo ataques sigilosos que comienzan desde dispositivos periféricos y se extienden a entornos de nube, lo que dificulta la detección”, dijo Trend Micro.
“Emplean varios métodos para establecer redes operativas que ocultan eficazmente sus actividades de ciberespionaje, demostrando un alto nivel de sofisticación en su enfoque para infiltrarse y monitorear objetivos sensibles”.
Las empresas de telecomunicaciones han estado en el punto de mira de varios grupos de amenazas vinculados a China, como Granite Typhoon y Liminal Panda en los últimos años.
La firma de ciberseguridad CrowdStrike dijo a The Hacker News que los ataques ponen de relieve una maduración significativa del programa cibernético de China, que ha pasado de ataques aislados a recopilación masiva de datos y ataques a largo plazo a proveedores de servicios gestionados (MSP), proveedores de servicios de Internet (ISP). y proveedores de plataformas.