Les attaques APT de « Earth Estries » frappent le gouvernement et la technologie avec des logiciels malveillants personnalisés

Jul 24, 2023

Un acteur malveillant récemment identifié vole discrètement des informations aux gouvernements et aux organisations technologiques du monde entier.

La campagne en cours est une gracieuseté de « Earth Estries ». Ce groupe jusqu'alors inconnu existe depuis au moins 2020, selon un nouveau rapport de Trend Micro, et chevauche dans une certaine mesure une autre société de cyberespionnage, FamousSparrow. Bien que les cibles proviennent généralement des mêmes secteurs, elles couvrent le monde entier, des États-Unis aux Philippines, en passant par l’Allemagne, Taiwan, la Malaisie et l’Afrique du Sud.

Earth Estries a tendance à utiliser le chargement latéral de DLL pour exécuter l’un de ses trois logiciels malveillants personnalisés – deux portes dérobées et un infostealer – ainsi que d’autres outils comme Cobalt Strike. "Les acteurs de la menace derrière Earth Estries travaillent avec des ressources de haut niveau et fonctionnent avec des compétences et une expérience sophistiquées en matière de cyberespionnage et d'activités illicites", ont écrit les chercheurs de Trend Micro.

Earth Estries possède trois outils malveillants uniques : Zingdoor, TrillClient et HemiGate.

Zingdoor est une porte dérobée HTTP développée pour la première fois en juin 2022, déployée depuis dans des cas limités. Il est écrit en Golang (Go), ce qui lui confère des capacités multiplateformes et contient UPX. Il peut récupérer des informations sur le système et les services Windows ; énumérer, télécharger ou télécharger des fichiers ; et exécutez des commandes arbitraires sur une machine hôte.

TrillClient est une combinaison d'installateur et d'infostealer, également écrite en Go et conditionnée dans un fichier CAB Windows (.cab). Le voleur est conçu pour collecter les informations d’identification du navigateur, avec une capacité supplémentaire à agir ou à dormir sur commande, ou à intervalles aléatoires, dans le but d’éviter d’être détecté. Avec Zingdoor, il arbore un obfuscateur personnalisé conçu pour bloquer les outils d'analyse.

L'outil le plus polyvalent du groupe est la porte dérobée HemiGate. Ce malware multi-instance tout-en-un comprend des fonctionnalités d'enregistrement de frappe, de capture de captures d'écran, d'exécution de commandes et de surveillance, d'ajout, de suppression et de modification de fichiers, de répertoires et de processus.

En avril, des chercheurs ont observé qu'Earth Estries utilisait des comptes compromis dotés de privilèges administratifs pour infecter les serveurs internes d'une organisation ; les moyens par lesquels ces comptes ont été compromis sont inconnus. Il a implanté Cobalt Strike pour prendre pied dans le système, puis a utilisé le bloc de messages du serveur (SMB) et la ligne de commande WMI pour apporter son propre malware à la fête.

Dans ses méthodes, Earth Estries donne l’impression d’une opération propre et délibérée.

Par exemple, pour exécuter son malware sur une machine hôte, il opte de manière fiable pour la méthode délicate de chargement latéral des DLL. Et, expliquent les chercheurs, « les acteurs malveillants nettoyaient régulièrement leur porte dérobée existante après avoir terminé chaque cycle d'opération et redéployaient un nouveau logiciel malveillant lorsqu'ils commençaient un autre cycle. Nous pensons qu'ils le font pour réduire le risque d'exposition et de détection ».

Le chargement latéral de DLL et un autre outil utilisé par le groupe – Fastly CDN – sont populaires auprès des sous-groupes APT41 comme Earth Longzhi. Trend Micro a également trouvé des chevauchements entre le chargeur de porte dérobée d'Earth Estries et celui de FamousSparrow. Pourtant, l’origine exacte des Earth Estries n’est pas claire. Cela n’aide pas non plus que son infrastructure C2 soit répartie sur cinq continents, couvrant tous les hémisphères terrestres : du Canada à l’Australie, de la Finlande au Laos, avec la plus forte concentration aux États-Unis et en Inde.

Les chercheurs pourraient bientôt en apprendre davantage sur le groupe, car sa campagne contre les gouvernements et les organisations technologiques du monde entier se poursuit aujourd’hui.