Il gruppo di cyber-spionaggio Earth Estries ha lanciato una sofisticata campagna di attacchi, compromettendo account con privilegi amministrativi e diffondendo malware attraverso server interni delle organizzazioni. Questa campagna ha come obiettivo principale la raccolta di informazioni da enti governativi e aziende tecnologiche.
Compromissione e movimento laterale
Dopo aver infettato con successo uno dei server interni di un’organizzazione, Earth Estries ha compromesso account esistenti con privilegi amministrativi. Installando Cobalt Strike sul sistema, gli attori dietro Earth Estries hanno potuto distribuire ulteriori malware e effettuare movimenti laterali. Utilizzando il Server Message Block (SMB) e la linea di comando WMI (WMIC), gli attori della minaccia hanno propagato backdoor e strumenti di hacking in altre macchine nell’ambiente della vittima. Al termine di ogni serie di operazioni, hanno archiviato i dati raccolti da una cartella specifica, mirando principalmente ai file PDF e DDF.
Pulizia e ridistribuzione
Gli attori della minaccia hanno regolarmente pulito la loro backdoor esistente dopo aver completato ogni round di operazioni e hanno ridistribuito un nuovo malware all’inizio di un altro round. Questa pratica viene adottata per ridurre il rischio di esposizione e rilevamento.
Strumenti di backdoor e hacking
Durante questa campagna, sono stati osservati vari strumenti utilizzati dagli attori della minaccia, tra cui rubatori di informazioni, rubatori di dati del browser e scanner di porte. Uno degli strumenti più notevoli è Zingdoor.
Zingdoor: una nuova backdoor
Zingdoor è una nuova backdoor HTTP scritta in Go. Sebbene sia stata scoperta per la prima volta in aprile 2023, alcuni log indicano che i primi sviluppi di questa backdoor risalgono a giugno 2022. Zingdoor è stata raramente vista in natura ed è stata utilizzata solo in un numero limitato di vittime. È confezionata usando UPX ed è pesantemente offuscata da un motore di offuscamento personalizzato. Zingdoor adotta tecniche anti-UPX e si traveste come mpclient.dll, progettata per essere eseguita tramite DLL sideloading abusando del binario Windows defender MsSecEs.exe.