Analyse von BSI gelisteter APT-Gruppe Earth Estries

Analyse von BSI gelisteter APT-Gruppe Earth Estries Bild: Bing - KI

Beitrag teilen

Die vom BSI als in Deutschland aktiv gelistete APT-Gruppe Earth Estries, auch bekannt als Salt Typhoon, FamousSparrow, GhostEmperor und UNC2286, wurde von Trend Micro detailliert analysiert. Die Gruppe nimmt aggressiv kritische Branchen weltweit ins Visier, um diese auszuspionieren. 

Seit 2023 hat sich Earth Estries zu einer der aggressivsten chinesischen Advanced-Persistent-Threat-Gruppen (APT) entwickelt, die vor allem kritische Branchen wie Telekommunikationsunternehmen und Regierungsstellen in den USA, im asiatisch-pazifischen Raum, im Nahen Osten und in Südafrika ins Visier nimmt. Aber auch das deutsche BSI warnt inzwischen vor der Gruppe, da sie bereits in Deutschland aktiv ist.

Anzeige

BSI warnt vor APT-Gruppe Earth Estries

Jüngste Untersuchung der Angriffe und der Gruppe hat als eines der wichtigen Ergebnis zur Entdeckung einer neuen Backdoor, GHOSTSPIDER, geführt, die bei Angriffen auf südostasiatische Telekommunikationsunternehmen eingesetzt wurde. Es zeigte sich des Weiteren, dass die Gruppe die modulare Backdoor SNAPPYBEE (auch bekannt als Deed RAT) verwendet, ein weiteres Tool, das unter chinesischen APT-Gruppen geteilt wird.

Earth Estries nutzt auch eine weitere plattformübergreifende Backdoor, die wir bereits bei der Untersuchung von Vorfällen in südostasiatischen Regierungen 2020 identifiziert haben und aufgrund ihrer PDB-Zeichenfolge MASOL RAT nannten. Damals gab es begrenzte Informationen, sodass MASOL RAT keiner bekannten Bedrohungsgruppe zuzuordnen war. Nun aber beobachteten wir, dass Earth Estries MASOL RAT auf Linux-Geräten einsetzt, die auf Netzwerke südostasiatischer Regierungen abzielen.

Motivation für die Cyber-Angriffe

Vor kurzem stellte Trend Micro fest, dass Microsoft die APT-Gruppen FamousSparrow und GhostEmperor unter dem Namen Salt Typhoon untersucht hat. Es gibt jedoch keine ausreichenden Beweise dafür, dass Earth Estries mit den jüngsten Nachrichten über einen Cyberangriff von Salt Typhoon in Verbindung steht, da es keinen detaillierteren Bericht über Salt Typhoon gibt. Derzeit können die Experten nur bestätigen, dass sich einige der Taktiken, Techniken und Verfahren (TTPs) von Earth Estries mit denen von FamousSparrow und GhostEmperor überschneiden.

Seit 2020 führt Earth Estries anhaltende Angriffe auf Regierungen und Internetdienstanbieter durch. Mitte 2022 begannen die Angreifer auch, Dienstleister für Regierungen und Telekommunikationsunternehmen ins Visier zu nehmen, so etwa 2023 Beratungsfirmen und NGOs, die mit der US-Bundesregierung und dem Militär zusammenarbeiten. Damit wollen die Kriminellen effizienter Informationen sammeln und ihre Hauptziele schneller angreifen.

Vor allem nehmen die Angreifer nicht nur kritische Dienste (wie Datenbank- und Cloud-Server) des Telekommunikationsunternehmens ins Visier, sondern auch dessen Lieferantennetzwerk. So stellte Trend Micro fest, dass sie das DEMODEX-Rootkit auf den Rechnern der Lieferanten installiert haben. Dieser Lieferant ist ein Hauptauftragnehmer für den wichtigsten Telekommunikationsanbieter der Region.

Angriff auf über 20 große Organisationen

Die APT-Gruppe kompromittierte erfolgreich mehr als 20 Organisationen in Bereichen wie Telekommunikation, Technologie, Beratung, Chemie und Transportwesen, Regierungsbehörden und gemeinnützige Organisationen (NGOs). Die Opfer kamen aus zahlreichen Ländern.

Earth Estries zielt aggressiv auf öffentlich zugängliche Server der Opfer und nutzt N-Day Schwachstellen aus. Nachdem sie die Kontrolle über den anfälligen Server erlangt haben, setzen die Angreifer LOLBINs (Living-off-the-Land Binaries) wie WMIC.exe und PSEXEC.exe für laterale Bewegungen ein und angepasste Malware wie SNAPPYBEE, DEMODEX und GHOSTSPIDER, um langfristige Spionageaktivitäten gegen ihre Ziele durchzuführen.

Überblick über die Kampagnen

Eine Analyse deutet darauf hin, dass Earth Estries eine gut organisierte Gruppe mit einer klaren Arbeitsteilung ist. Basierend auf Beobachtungen aus mehreren Kampagnen vermuten die Experten von Trend Micro, dass Angriffe, die auf verschiedene Regionen und Branchen abzielen, von unterschiedlichen Akteuren lanciert werden. Darüber hinaus scheint die C&C-Infrastruktur, die von verschiedenen Backdoors genutzt wird, von unterschiedlichen Infrastrukturteams verwaltet zu werden, was die Komplexität der Operationen der Gruppe weiter unterstreicht.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Bedrohungen bewerten und aktiv abwehren

Mit dem Risk Management Dashboard von Keeper Security haben Administratoren die Sicherheit des Unternehmens im Blick. Dynamische Benchmarks unterstützen sie ➡ Weiterlesen

KI-Einsatz: Schutz und Gefahr für die Datensicherheit 2025

In diesem Jahr sollten Unternehmen der Datensicherheit in der Cloud angesichts des zunehmenden KI-Einsatzes höchste Priorität einzuräumen. Die Entwicklung und ➡ Weiterlesen

Phishing-resistente Authentifizierung für Microsoft

Ein führender Anbieter von Sicherheitsschlüsseln für die Hardware-Authentifizierung hat eine neue phishing-resistente Lösung für Microsoft-Ökosysteme vorgestellt. Sie kommt ohne Passwörter ➡ Weiterlesen

KI zum Schutz kritischer IT-Infrastrukturen

Ein Anbieter von Lösungen für Performance Management, Cybersicherheit und Schutz vor DDoS-Angriffen, kündigt Updates für seine branchenführenden Produkte Arbor Edge ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

KI-Aufbau: Neuer API-Service für Amazon Bedrock

Annapurna, der neue Application Programming Interface (API)-Service von Rubrik lässt sich direkt in Amazon Bedrock integrieren und richtet sich an ➡ Weiterlesen

Cloud SIEM für Echtzeit-Bedrohungserkennung 

Modernes Cloud SIEM soll für Echtzeit-Bedrohungserkennung und ein effizientes Monitoring sorgen. Das Cloud SIEM von Datadog setzt auf moderne Architekturen und ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen