Киберпреступники работают сразу по четырём континентам, что говорит об их глобальных амбициях.
Группа хакеров под псевдонимом Earth Estries стоит за новой масштабной кампанией кибершпионажа, нацеленной на правительственные учреждения и технологические компании Филиппин, Тайваня, Малайзии, Южной Африки, Германии и США.
Для просмотра ссылки Войдиили Зарегистрируйся исследователей компании Trend Micro , хакеры из Earth Estries действуют со значительными ресурсами и обладают большим опытом в области кибершпионажа. Группа активна как минимум с 2020 года. Её тактика пересекается с другой группой под названием FamousSparrow, впервые обнаруженной ESET в 2021 году.
FamousSparrow эксплуатировала уязвимости ProxyLogon в Microsoft Exchange для взлома организаций в сфере гостиничного бизнеса, правительства, инженерии и юриспруденции.
Как отмечают эксперты, у FamousSparrow и Earth Estries также есть общие черты с группой UNC4841, ответственной за использование недавно обнаруженной 0-day уязвимости в решениях Barracuda ESG .
Хакеры используют Cobalt Strike для закрепления во взломанных системах, после чего быстро развёртывают дополнительные вредоносные программы для расширения контроля. В их арсенал входят различные бэкдоры и инструменты для сбора данных, в том числе Zingdoor, TrillClient и HemiGate.
Чтобы избежать обнаружения, злоумышленники регулярно очищают и переразвёртывают свои бэкдоры на заражённых хостах. Они также используют метод DLL Sideloading и атаки с понижением версий PowerShell для обхода механизмов обнаружения.
Для передачи команд и украденных данных хакеры злоупотребляют публичными сервисами вроде Github , Gmail и File.io . Большинство их серверов управления находятся в США, Индии, Австралии, Канаде и других странах.
Путём компрометации внутренних серверов злоумышленники получают возможность незаметно перемещаться внутри сети жертвы и проводить вредоносную деятельность. А сочетание методов социальной инженерии и технических приёмов, таких как атаки с понижением версии PowerShell, позволяет им действовать максимально скрытно.
Группа хакеров под псевдонимом Earth Estries стоит за новой масштабной кампанией кибершпионажа, нацеленной на правительственные учреждения и технологические компании Филиппин, Тайваня, Малайзии, Южной Африки, Германии и США.
Для просмотра ссылки Войди
FamousSparrow эксплуатировала уязвимости ProxyLogon в Microsoft Exchange для взлома организаций в сфере гостиничного бизнеса, правительства, инженерии и юриспруденции.
Как отмечают эксперты, у FamousSparrow и Earth Estries также есть общие черты с группой UNC4841, ответственной за использование недавно обнаруженной 0-day уязвимости в решениях Barracuda ESG .
Хакеры используют Cobalt Strike для закрепления во взломанных системах, после чего быстро развёртывают дополнительные вредоносные программы для расширения контроля. В их арсенал входят различные бэкдоры и инструменты для сбора данных, в том числе Zingdoor, TrillClient и HemiGate.
Чтобы избежать обнаружения, злоумышленники регулярно очищают и переразвёртывают свои бэкдоры на заражённых хостах. Они также используют метод DLL Sideloading и атаки с понижением версий PowerShell для обхода механизмов обнаружения.
Для передачи команд и украденных данных хакеры злоупотребляют публичными сервисами вроде Github , Gmail и File.io . Большинство их серверов управления находятся в США, Индии, Австралии, Канаде и других странах.
Путём компрометации внутренних серверов злоумышленники получают возможность незаметно перемещаться внутри сети жертвы и проводить вредоносную деятельность. А сочетание методов социальной инженерии и технических приёмов, таких как атаки с понижением версии PowerShell, позволяет им действовать максимально скрытно.
- Источник новости
- www.securitylab.ru