【安全资讯】Earth Estries的进化工具包:深入探讨其先进技术

安恒恒脑 2024-11-12 19:06:18 38人浏览

概要:

近年来,网络间谍活动愈发猖獗,Earth Estries(又称Salt Typhoon)便是其中一个活跃的黑客组织。自2020年以来,该组织主要针对政府和科技公司,通过复杂的多步骤攻击链进行渗透。Trend Micro的最新报告揭示了Earth Estries的攻击手法及其工具包的演变,显示出其在保持隐蔽性和持续访问受害环境方面的决心。

主要内容:

Trend Micro的分析指出,Earth Estries采用了两条不同的感染链,每条链都有独特的工具和战术。第一条链利用PsExec和WMI命令行进行横向移动,使用Cobalt Strike、Trillclient、Hemigate和Crowdoor等工具。这些工具通过CAB文件包引入,允许在目标网络中无缝分发和执行。Trillclient特别用于从浏览器缓存中提取用户凭证,进一步扩展了该组织的渗透范围。

第二条感染链则专注于利用Microsoft Exchange服务器的漏洞,使用ChinaChopper网络壳植入Cobalt Strike及其他后门,如Zingdoor和SnappyBee。这些后门的交付方式包括通过C&C服务器或使用cURL从攻击者控制的服务器下载,确保恶意软件组件的定期更新和替换,增加了检测的难度。

Earth Estries还引入了新的后门Crowdoor,作为Hemigate的更新版本,具备更先进的命令结构以确保有效的持久性和隐蔽性。该组织通过调度任务、DLL侧加载和远程服务创建等复杂策略维持访问,利用cURL工具将敏感数据上传至匿名文件共享网站,确保数据外泄过程的隐蔽性。Trend Micro警告称,Earth Estries对目标环境的深刻理解使其能够精准地穿越复杂网络,成为对政府和科技基础设施的重大威胁。
APT 数据泄露 政府部门 科技公司
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。