Die vom BSI als in Deutschland aktiv gelistete APT-Gruppe Earth Estries, auch bekannt als Salt Typhoon, FamousSparrow, GhostEmperor und UNC2286, wurde von Trend Micro detailliert analysiert. Die Gruppe nimmt aggressiv kritische Branchen weltweit ins Visier, um diese auszuspionieren.
Seit 2023 hat sich Earth Estries zu einer der aggressivsten chinesischen Advanced-Persistent-Threat-Gruppen (APT) entwickelt, die vor allem kritische Branchen wie Telekommunikationsunternehmen und Regierungsstellen in den USA, im asiatisch-pazifischen Raum, im Nahen Osten und in Südafrika ins Visier nimmt. Aber auch das deutsche BSI warnt inzwischen vor der Gruppe, da sie bereits in Deutschland aktiv ist.
BSI warnt vor APT-Gruppe Earth Estries
Jüngste Untersuchung der Angriffe und der Gruppe hat als eines der wichtigen Ergebnis zur Entdeckung einer neuen Backdoor, GHOSTSPIDER, geführt, die bei Angriffen auf südostasiatische Telekommunikationsunternehmen eingesetzt wurde. Es zeigte sich des Weiteren, dass die Gruppe die modulare Backdoor SNAPPYBEE (auch bekannt als Deed RAT) verwendet, ein weiteres Tool, das unter chinesischen APT-Gruppen geteilt wird.
Earth Estries nutzt auch eine weitere plattformübergreifende Backdoor, die wir bereits bei der Untersuchung von Vorfällen in südostasiatischen Regierungen 2020 identifiziert haben und aufgrund ihrer PDB-Zeichenfolge MASOL RAT nannten. Damals gab es begrenzte Informationen, sodass MASOL RAT keiner bekannten Bedrohungsgruppe zuzuordnen war. Nun aber beobachteten wir, dass Earth Estries MASOL RAT auf Linux-Geräten einsetzt, die auf Netzwerke südostasiatischer Regierungen abzielen.
Motivation für die Cyber-Angriffe
Vor kurzem stellte Trend Micro fest, dass Microsoft die APT-Gruppen FamousSparrow und GhostEmperor unter dem Namen Salt Typhoon untersucht hat. Es gibt jedoch keine ausreichenden Beweise dafür, dass Earth Estries mit den jüngsten Nachrichten über einen Cyberangriff von Salt Typhoon in Verbindung steht, da es keinen detaillierteren Bericht über Salt Typhoon gibt. Derzeit können die Experten nur bestätigen, dass sich einige der Taktiken, Techniken und Verfahren (TTPs) von Earth Estries mit denen von FamousSparrow und GhostEmperor überschneiden.
Seit 2020 führt Earth Estries anhaltende Angriffe auf Regierungen und Internetdienstanbieter durch. Mitte 2022 begannen die Angreifer auch, Dienstleister für Regierungen und Telekommunikationsunternehmen ins Visier zu nehmen, so etwa 2023 Beratungsfirmen und NGOs, die mit der US-Bundesregierung und dem Militär zusammenarbeiten. Damit wollen die Kriminellen effizienter Informationen sammeln und ihre Hauptziele schneller angreifen.
Vor allem nehmen die Angreifer nicht nur kritische Dienste (wie Datenbank- und Cloud-Server) des Telekommunikationsunternehmens ins Visier, sondern auch dessen Lieferantennetzwerk. So stellte Trend Micro fest, dass sie das DEMODEX-Rootkit auf den Rechnern der Lieferanten installiert haben. Dieser Lieferant ist ein Hauptauftragnehmer für den wichtigsten Telekommunikationsanbieter der Region.
Angriff auf über 20 große Organisationen
Die APT-Gruppe kompromittierte erfolgreich mehr als 20 Organisationen in Bereichen wie Telekommunikation, Technologie, Beratung, Chemie und Transportwesen, Regierungsbehörden und gemeinnützige Organisationen (NGOs). Die Opfer kamen aus zahlreichen Ländern.
Earth Estries zielt aggressiv auf öffentlich zugängliche Server der Opfer und nutzt N-Day Schwachstellen aus. Nachdem sie die Kontrolle über den anfälligen Server erlangt haben, setzen die Angreifer LOLBINs (Living-off-the-Land Binaries) wie WMIC.exe und PSEXEC.exe für laterale Bewegungen ein und angepasste Malware wie SNAPPYBEE, DEMODEX und GHOSTSPIDER, um langfristige Spionageaktivitäten gegen ihre Ziele durchzuführen.
Überblick über die Kampagnen
Eine Analyse deutet darauf hin, dass Earth Estries eine gut organisierte Gruppe mit einer klaren Arbeitsteilung ist. Basierend auf Beobachtungen aus mehreren Kampagnen vermuten die Experten von Trend Micro, dass Angriffe, die auf verschiedene Regionen und Branchen abzielen, von unterschiedlichen Akteuren lanciert werden. Darüber hinaus scheint die C&C-Infrastruktur, die von verschiedenen Backdoors genutzt wird, von unterschiedlichen Infrastrukturteams verwaltet zu werden, was die Komplexität der Operationen der Gruppe weiter unterstreicht.
Mehr bei TrendMicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..