【安全资讯】Earth Centaur组织针对运输行业和政府机构进行间谍活动
引言
Earth Centaur又名Tropic Trooper,自 2011 年以来一直活跃,是一个长期运营的网络间谍威胁组织。自2020 年 7 月以来,该组织疑似以运输行业的组织和运输相关的政府机构为目标,进行间谍活动。
简况
Earth Centaur试图访问一些内部文件,如航班时刻表和财务计划文件,以及受感染主机的个人信息,如搜索历史记录。目前研究人员尚未发现Earth Centaur组织对这些受害者造成的实质性损害。但是,研究人员认为该组织会继续窃取受害者的内部信息,并且只是在等待使用这些数据的机会。
Earth Centaur的入侵过程如下图:
Earth Centaur首先使用易受攻击的 Internet 信息服务 (IIS) 服务器和 Exchange 服务器漏洞作为入口点,使用 bitsadmin 下载下一阶段的加载程序Nerapack及其有效负载文件.bin。
随后,攻击者将 Nerapack 加载程序和第一阶段后门Quasar 远程管理工具部署在受感染的机器上。然后,根据受害者的不同,攻击者会投放不同类型的第二阶段后门,如 ChiserClient 和 SmileSvr。
在成功利用受害者的环境后,攻击者将使用多种黑客工具来发现和破坏受害者内网上的机器,使用的工具包括SharpHound、FRPC、Chisel以及RClone。此外,该组织使用多种合法工具在受感染机器上转储凭据,还使用了自定义工具清理指定的事件日志,从而使调查人员难以追踪。
总结
Earth Centaur拥有一系列工具,能够评估并破坏其攻击目标。例如,该组织可以映射其目标的网络基础设施并绕过防火墙;使用具有不同协议的后门,根据不同受害者部署不同的后门。因此,研究人员认为Earth Centaur是一个经验丰富的间谍组织。