【安全资讯】Earth Centaur组织针对运输行业和政府机构进行间谍活动

引言

Earth Centaur又名Tropic Trooper，自 2011 年以来一直活跃，是一个长期运营的网络间谍威胁组织。自2020 年 7 月以来，该组织疑似以运输行业的组织和运输相关的政府机构为目标，进行间谍活动。

简况

Earth Centaur试图访问一些内部文件，如航班时刻表和财务计划文件，以及受感染主机的个人信息，如搜索历史记录。目前研究人员尚未发现Earth Centaur组织对这些受害者造成的实质性损害。但是，研究人员认为该组织会继续窃取受害者的内部信息，并且只是在等待使用这些数据的机会。

Earth Centaur的入侵过程如下图：

Earth Centaur首先使用易受攻击的 Internet 信息服务 (IIS) 服务器和 Exchange 服务器漏洞作为入口点，使用 bitsadmin 下载下一阶段的加载程序Nerapack及其有效负载文件.bin。

随后，攻击者将 Nerapack 加载程序和第一阶段后门Quasar 远程管理工具部署在受感染的机器上。然后，根据受害者的不同，攻击者会投放不同类型的第二阶段后门，如 ChiserClient 和 SmileSvr。

在成功利用受害者的环境后，攻击者将使用多种黑客工具来发现和破坏受害者内网上的机器，使用的工具包括SharpHound、FRPC、Chisel以及RClone。此外，该组织使用多种合法工具在受感染机器上转储凭据，还使用了自定义工具清理指定的事件日志，从而使调查人员难以追踪。

总结

Earth Centaur拥有一系列工具，能够评估并破坏其攻击目标。例如，该组织可以映射其目标的网络基础设施并绕过防火墙；使用具有不同协议的后门，根据不同受害者部署不同的后门。因此，研究人员认为Earth Centaur是一个经验丰富的间谍组织。