資安威脅趨勢 - 駭客組織Earth Estries鎖定臺灣組織/單位進行網路間諜活動

                         


駭客組織Earth Estries鎖定臺灣組織/單位進行網路間諜活動

一、摘要

        資安業者趨勢科技揭露駭客組織Earth Estries的攻擊行動,該組織自今年初開始針對臺灣、美國、德國、南非、馬來西亞、菲律賓的政府機關與科技業者進行入侵行動。駭客入侵成功後,會利用管理者權限掌控既有的使用者帳號,接著部署Cobalt Strike來投放更多惡意程式並展開橫向移動,其藉由網路資料夾共享(SMB)及WMI命令列工具(WMIC),在受害組織的其他電腦上散布後門程式Zingdoor、HemiGate,竊資軟體TrillClient,和其他作案工具。


、存在風險

        駭客入侵成功後,會利用管理者權限掌控既有的使用者帳號,接著部署Cobalt Strike來投放更多惡意程式並展開橫向移動,其藉由網路資料夾共享(SMB)及WMI命令列工具(WMIC),在受害組織的其他電腦上散布後門程式Zingdoor、HemiGate,竊資軟體TrillClient,和其他作案工具。據觀察,駭客在每一輪的攻擊行動中,都會從特定的資料夾中收集資料(PDF/DDF檔案),並透過curl.exe將檔案上傳至AnonFiles或File.io,甚至是在每一輪攻擊活動結束後清除後門程式

  • 惡意後門程式【Zingdoor】:是一種用以Go程式語言撰寫的新型HTTP後門程式,其採用anti-UPX unpacking技術且一旦此惡意程式被執行,會將當前的程序名註冊為MsSecEsSvc,並連線至中繼站以及等待攻擊者的指令,此後門程式具備以下功能:
    • 取得系統資訊
    • 取得Windows 服務資訊
    • 硬碟管理(檔案上傳/下載)
    • 執行任意指令

  • 惡意後門程式【HemiGate】:此後門程式被執行後,會透過 443 Port與中繼站進行溝通。

  • 竊取訊息之惡意程式【TrillClient】:是一種用以Go語言撰寫的竊取資料之惡意程式,其採用客製化的程式碼混淆器規避偵測和分析。

  • Indicators of compromise:
    • cd2b703e1b7cfd6c552406f44ec05480209003789ad4fbba4d4cffd4f104b0a0
    • 0eaa67fe81cec0a41cd42866df1223cb7d2b5659ab295dffe64fe9c3b76720aa
    • e6f9756613345fd01bbcf28eba15d52705ef4d144c275b8cfe868a5d28c24140
    • c7023183e815b9aff68d3eba6c2ca105dbe0a9b05cd209908dcee907a64ce80b
    • 1a9e0c7c88e7a8b065ec88809187f67d920e7845350d94098645e592ec5534f6
    • efb98b8f882ac84332e7dfdc996a081d1c5e6189ad726f8f8afec5d36a20a730
    • 8476ad68ce54b458217ab165d66a899d764eae3ad30196f35d2ff20d3f398523
    • dff1d282e754f378ef00fb6ebe9944fee6607d9ee24ec3ca643da27f27520ac3
    • 42d4eb7f04111631891379c5cce55480d2d9d2ef8feaf1075e1aed0c52df4bb9
    • 45b9204ccbad92e4e5fb9e31aab683eb5221eb5f5688b1aae98d9c0f1c920227
    • 98e250bc06de38050fdeab9b1e2ef7e4d8c401b33fd5478f3b85197112858f4e
    • b1bc10fa25a4fd5ae7948c6523eb975be8d0f52d1572c57a7ef736134b996586
    • 49a0349dfa79b211fc2c5753a9b87f8cd2e9a42e55eca6f350f30c60de2866ce
    • 71a503b5b6ec8321346bee3f6129af0b8ad490a36092488d085085cdc0fc6b9d
    • 28109c650df5481c3997b720bf8ce09e7472d9cdb3f02dd844783fd2b1400c72
    • a8dd0ca6151000de33335f48a832d24412de13ce05ea6f279bf4aaaa2e5aaecb
    • deaa3143814c6fe9279e8bc0706df22d63ef197af980d8feae9a8468f441efec
    • b6481e0edc36a0472ab0ce7d0817f1773c4af9307ae60890a667930558a762ff
    • eeb3d2e87d343b2acf6bc8e4e4122d76a9ad200ae52340c61e537a80666705ed
    • 4b014891df3348a76750563ae10b70721e028381f3964930d2dd49b9597ffac3
    • 2531891691ef674345f098ef18b274091acdf3f2808cca753674599c043ccd7d
    • c59e17806e3a58792f07662b4985119252c8221688084d20b599699bfdb272d8
    • e1a7e5f27362aaf0d12b58b96a816ef61a2a498def9805297aa81f6f83729230
    • ca6713bedbd19c2ad560700b41774825615b0fe80bf61751177ffbc26c77aa30
    • cdadad8d7ced1370baa5d1ffe435bed78c2d58ed4cda364b8a7484e3c7cdac98
    • 82f3384723b21f9a928029bb3ee116f9adbc4f7ec66d5a856e817c3dc16d149d
    • 415e0893ce227464fb29d76e0500c518935d11379d17fb14effaef82e962ff76
    • f6223d956df81dcb6135c6ce00ee14d0efede9fb399b56d2ee95b7b0538fe12c
    • cloudlibraries[.]global[.]ssl[.]fastly[.]net
    • shinas[.]global[.]ssl[.]fastly[.]net
    • zmailssl3[.]global[.]ssl[.]fastly[.]net
    • nx2.microware-help[.]com
    • east.smartpisang[.]com
    • cdn728a66b0.smartlinkcorp[.]net
    • cdn-6dd0035.oxcdntech[.]com
    • cdn-7a3d[.]vultr-dns[.]com
    • web9a78bc52.trhammer[.]com
    • access.trhammer[.]com
    • ms101.cloudshappen[.]com
    • https://103.159.133[.]205/index.asp?id=432
    • 96.44.160[.]181


        建議改善措施:
  1. 檢視對外開放伺服器之通訊埠是否有以最小原則對外開放存取。
  2. 定期更新對外開放之伺服器。
  3. 於防火牆或相關防護設備加入以上提供之IoC作為聯防用途。
  4. 儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。

       情資報告連結:https://www.trendmicro.com/en_us/research/23/h/earth-estries-targets-government-tech-for-cyberespionage.html

這個網誌中的熱門文章

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

-->

資安威脅趨勢 - 醫院遭CrazyHunter勒索軟體持續攻擊

-->

漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->