新的先进持续威胁组织 Earth Estries 现身

关键要点

Trend Micro表示，EarthEstries这个新发现的高级持续威胁（APT）组织，利用复杂的网络间谍技术和专门的恶意软件，专门针对至少六个国家的政府及科技行业，包括美国。尽管TrendMicro在早些时候的报告中提到该组织是今年刚发现的，但其实他们自2020年以来就已活跃于网络。

根据Trend Micro在中描述，EarthEstries被视为一个复杂的黑客团伙，目前在菲律宾、台湾、马来西亚、南非、德国和美国开展积极的网络攻击。

“从这次持续活动所使用的工具和技术总体情况看，我们相信，Earth
Estries背后的威胁行为者拥有高水平的资源，并在网络间谍和非法活动中具有复杂技能和经验，”研究人员表示。

Trend Micro并未将该组织归属到特定的国家，但指出EarthEstries与另一个APT组织FamousSparrow在战术、技术和程序（TTPs）上有一些重叠。

“此外，Earth Estries与FamousSparrow之间的代码相似性和TTPs暗示这两个组织可能存在某种联系，”研究人员补充道。

进一步的证据，包括被跟踪的IP地址和通用技术格式主题，也表明这两个组织之间存在“紧密联系”。

在2021年的中，ESET将FamousSparrow与另外两个APT组织——和连接在一起，这两个组织均与中国威胁行为者有关联。

Trend Micro指出，在入侵内部服务器后，Earth Estries使用具有管理权限的有效账户在其受害者的网络中秘密横向移动。

“为了尽量减少痕迹，他们使用PowerShell降级攻击来避免被Windows恶意软件扫描接口（AMSI）的日志记录机制侦测到。此外，攻击者滥用公共服务，如Github、Gmail、AnonFiles和File.io，来交换或传输命令和被窃取的数据。”

研究人员表示，Earth Estries使用了一系列工具来执行其活动，包括常用的远程控制工具，如和，以及新的后门和信息窃取工具。

其工具包中包括Zingdoor，这是一个具有跨平台能力的Go HTTP后门，该后门首次开发于2022年6月，并且只在有限的情况下被部署过。

该组织还使用了TrillClient，这是一个自定义浏览器数据窃取工具，同样是用Go编写的，能够连接到GitHub代码库以检索命令，以及HemiGate，一种具有按键记录功能的后门。

“与该威胁行为者使用的绝大多数工具一样，该后门也通过DLL旁加载执行，使用支持可互换负载的加载程序。我们观察到Earth
Estries在其武器库中大量依赖DLL旁加载来加载各种工具，”研究人员表示。

“我们还注意到，威胁行为者在完成每一轮操作后，定期清理现有的后门，并在开始另一轮