Группа компаний APT Earth Alux, связанная с Китаем, демонстрирует высокую степень угрозы для критически важных отраслей промышленности благодаря своим изощренным методам кибершпионажа. Сосредоточив свою деятельность на Азиатско-Тихоокеанском регионе (APAC) и Латинской Америке, группа зачастую нацеливается на такие ключевые сектора, как:
- государственное управление
- технологии
- логистика
- производство
- телекоммуникации
- ИТ-услуги
- розничная торговля
Данные об активности Earth Alux были впервые зафиксированы во втором квартале 2023 года, когда их действия были сосредоточены в основном в Азиатско-Тихоокеанском регионе. Тем не менее, к середине 2024 года их влияние распространилось на Латинскую Америку.
Основные инструменты кибершпионов
Ключевым инструментом в арсенале Earth Alux является бэкдор VARGEIT. Этот сложный механизм предназначен для поддержания скрытого присутствия в скомпрометированных системах и сбора данных на протяжении длительного времени. Примечательные характеристики VARGEIT включают:
- использование дополнительной загрузки библиотек DLL;
- многоканальную конфигурацию для обмена данными, включая Microsoft Graph API;
- возможность чтения и управления электронной почтой через платформу Outlook.
Кроме того, VARGEIT позволяет загружать инструменты непосредственно с сервера управления процессами (C&C), включая внедрение кода в mspaint, что затрудняет его обнаружение традиционными мерами безопасности.
Тактики и методы доступа
Тактика Earth Alux для получения начального доступа часто включает:
- использование уязвимых сервисов на незащищенных серверах;
- развертывание веб-оболочек, таких как GODZILLA, для применения своих бэкдоров;
- использование бэкдора COBEACON для начального этапа, применяя шифрование полезной нагрузки для обхода защитных систем.
Сам VARGEIT работает по сложной многоступенчатой схеме. Первоначальное выполнение происходит с использованием шеллкода командной строки, далее задействуются механизмы дополнительной загрузки DLL через компонент RAILLOAD. Последний, вместе с RAILSETTER, демонстрирует расширенные возможности, включая методы обхода систем обнаружения.
Обновленные методы развертывания и инструменты
В рамках своей операционной деятельности Earth Alux адаптировала свои методы развертывания для повышения скрытности. Примером этого является переход на запуск RAILSETTER через процесс mspaint, вместо традиционной загрузки библиотеки DLL.
Группа активно использует инструменты с открытым исходным кодом от китайскоязычного сообщества для улучшения своих методов скрытности. К ним относятся:
- ZeroEye для тестирования боковой загрузки библиотек;
- VirTest для выявления и смягчения стратегий обнаружения вредоносных программ.
Множество приложений и инструментов, используемых Earth Alux, ориентировано на 64-разрядные системы Windows, с конкретными хэш-значениями, такими как 00a41c8272d405ba85ae9d0e435e3030033e8a032f3d762367d0a57d41524f3a, относящимися к варианту загрузки SMZALF-A.
Вывод
Использование Earth Alux технологии Cobalt Strike для командования и контроля подчеркивает их способность обеспечивать надежную координацию операций, применяя домены и IP-адреса для реализации своей вредоносной деятельности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Earth Alux: угроза кибербезопасности для ключевых отраслей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.