Earth Estries攻击活动技术分析

概述

自2023年起，Earth Estries（又名Salt Typhoon、FamousSparrow、GhostEmperor和UNC2286）成为最激进的中国高级持续性威胁（APT）组织之一，主要针对美国、亚太、中东和南非的电信和政府等关键行业。本文重点分析其不断演变的攻击技术，并揭示其操作背后的动机。

关键发现

• 新型后门GHOSTSPIDER：在针对东南亚电信公司的攻击中发现，该后门采用多层模块化设计，通过自定义TLS协议与C&C服务器通信。
• 共享工具SNAPPYBEE：该组织使用模块化后门SNAPPYBEE（又名Deed RAT），这是中国APT组织之间共享的工具。
• 跨平台后门MASOL RAT：基于PDB字符串命名，最初在2020年东南亚政府事件中发现，今年观察到Earth Estries在Linux设备上部署该后门。

攻击技术细节

初始访问

Earth Estries积极利用面向公众的服务器漏洞，包括：

• Ivanti Connect Secure VPN漏洞（CVE-2023-46805和CVE-2024-21887）
• Fortinet FortiClient EMS SQL注入漏洞（CVE-2023-48788）
• Sophos防火墙代码注入漏洞（CVE-2022-3236）
• ProxyLogon漏洞链（CVE-2021-26855等）

横向移动与持久化

攻击者使用WMIC.exe和PSEXEC.exe等LOLBIN工具进行横向移动，并部署定制恶意软件（如SNAPPYBEE、DEMODEX和GHOSTSPIDER）进行长期间谍活动。

恶意软件分析

GHOSTSPIDER

• 感染流程：通过regsvr32.exe安装第一阶段stager，检查特定主机名后连接C&C服务器获取模块。
• 通信协议：使用自定义协议，通信请求中连接ID通过CRC32或CRC64计算，放置在HTTP cookie中。
• 模块化设计：支持多种命令代码（上传、创建、心跳等），通过反射加载模块增强灵活性和隐蔽性。

DEMODEX rootkit

• 感染链：使用PowerShell脚本部署，后续变体改用CAB文件捆绑注册表数据，安装后删除文件增加分析难度。
• 反分析技术：采用控制流平坦化技术混淆代码。

MASOL RAT

• 跨平台支持：最初针对Windows，近年发现Linux变体 targeting东南亚政府服务器。
• 配置提取：从样本中提取C&C服务器配置，显示长期运营特征。

C&C基础设施

• 复杂管理：不同后门的C&C基础设施由不同团队管理，显示高度组织化。
• 基础设施重叠：部分C&C域名与已知APT组织（如UNC4841）的IOC重叠，可能共享注册服务商。
• 隐蔽通信：使用SoftEther VPN建立操作网络，增加追踪难度。

受害者分析

超过20个组织受害，涵盖电信、技术、咨询、化工、运输等行业，以及政府机构和非营利组织。受害地区包括阿富汗、巴西、印度、印尼、马来西亚、巴基斯坦、菲律宾、南非、台湾、泰国、美国、越南等。

结论

Earth Estries采用先进的攻击技术和共享工具，针对关键行业进行长期网络间谍活动。其操作从边缘设备扩展到云环境，隐蔽性强，检测难度大。组织需保持警惕，加强网络安全防护，利用统一安全平台监控和阻断威胁。

IOC与检测

提供YARA规则和IOC列表（截至2024年10月31日），但由于DEMODEX和GHOSTSPIDER组件在不同端点有不同文件哈希，IOC列表非 exhaustive。更多IOC和狩猎查询可通过Trend Micro Vision One平台获取。