GhostSpider バックドア

翻訳内容：

Earth Estries として知られる中国とつながりのある高度なサイバースパイ集団は、東南アジアおよびそれ以外の地域の通信および政府機関を標的にしています。この集団は、文書化されていない GhostSpider というバックドアの使用など、さまざまな高度な技術を使用して重要な産業に侵入しています。この脅威アクターは、複数の脆弱性を悪用してターゲットに不正アクセスすることも確認されており、中国のサイバー能力がますます高度化していることが示されています。

GhostSpider: 文書化されていないバックドア

Earth Estries の武器庫に新たに加わった GhostSpider は、ネットワークに侵入する主な手段として使用されています。このバックドアは、東南アジアの通信会社のインフラストラクチャの弱点を悪用するように特別に作成されており、非常にターゲットを絞っています。Earth Estries は、このツールを別のバックドアである MASOL RAT (別名 Backdr-NQ) と併用して、Linux と政府のネットワークシステムの両方をターゲットにしています。このグループのカスタムメイドのマルウェアを使用する戦略により、侵入されたネットワーク内に永続的に存在し、長期的なサイバースパイ活動が可能になります。

グローバル展開: 複数のセクターをターゲットに

Earth Estries は、通信、テクノロジー、コンサルティング、運輸、化学産業、政府機関など、幅広い分野への侵入で大きな進歩を遂げてきました。同グループの活動は、アフガニスタン、ブラジル、インド、インドネシア、マレーシア、南アフリカ、米国、ベトナムなど、12 か国以上で 20 を超える被害者に及んでいます。この広範なターゲット設定は、同グループの能力と野心を強調するものであり、特に米国政府および民間部門で推定 150 人が同グループの活動の影響を受けています。

地球の道具エストリーズ

The Earth Estries が利用できる多くのツールの中でも、Demodex ルートキットと Deed RAT (別名 SNAPPYBEE) が際立っています。これらのツールは、Crowdoor や TrillClient などの他のツールとともに、このグループの活動に不可欠なものです。中国の APT グループが広く使用しているマルウェアファミリーである ShadowPad は、おそらく後継となる Deed RAT の開発に影響を与えたと考えられています。これらの高度なバックドアと情報窃盗ツールにより、The Earth Estries はターゲットから機密情報を盗み出す間、身を隠したままでいることができます。

初期アクセスのための脆弱性の悪用

Earth Estries は、標的へのアクセスを得るために、N デイ脆弱性に大きく依存しています。N デイ脆弱性とは、公開されているものの、ユーザーによってまだ修正されていないソフトウェアの欠陥です。最もよく悪用される脆弱性には、Ivanti Connect Secure、Fortinet FortiClient EMS、Sophos Firewall、Microsoft Exchange Server などがあります。これらの脆弱性が悪用されると、Earth Estries はカスタムマルウェアを展開し、侵入したネットワークにさらに埋め込まれて、長期的な監視とデータ収集を行います。

複雑かつよく組織化されたグループ

Earth Estries は、高度に構造化され組織化されたアプローチで活動しています。いくつかのキャンペーンを分析した結果、グループ内のさまざまなチームが特定の地域や業界をターゲットにしていることがわかりました。グループのコマンドアンドコントロール (C2) インフラストラクチャも分散化されており、異なるチームがさまざまなバックドア操作を管理しています。このセグメント化により、さまざまなセクターにわたる、より複雑で組織化された一連の攻撃が可能になります。

GhostSpider: マルチモジュールインプラント

Earth Estries の活動の中心にあるのは GhostSpider インプラントです。この高度なツールは、トランスポート層セキュリティ (TLS) で保護されたカスタムプロトコルを介して、攻撃者が制御するインフラストラクチャと通信します。インプラントは必要に応じて追加のモジュールを取得して、機能を拡張できます。その柔軟性により、長期的なサイバースパイ活動に強力なツールとなり、Earth Estries は状況に応じて活動を適応させ、進化させることができます。

ステルスと回避戦術

Earth Estries は、検出を回避するためにさまざまなステルス技術を採用しています。このグループは、エッジデバイスから攻撃を開始し、徐々にクラウド環境まで攻撃範囲を広げて、その存在を検出することを困難にしています。目立たないようにし、インフラストラクチャの層の背後に隠れることで、Earth Estries は長期間にわたって活動が検出されないようにし、中断のないデータ収集を可能にしています。

通信会社：頻繁なターゲット

通信会社は長い間、中国と関係のあるサイバー脅威グループの主な標的となってきましたが、アースエストリーは、グラナイト・タイフーンやリミナル・パンダなどの他のグループに加わりました。これらの攻撃は、中国のサイバープログラムが成熟し、単発攻撃から大量のデータ収集と重要なサービスプロバイダーを狙った継続的な攻撃へと移行していることを明らかにしています。アースエストリーがマネージドサービスプロバイダー（MSP）、インターネットサービスプロバイダー（ISP）、プラットフォームプロバイダーに重点を置いていることは、世界の通信ネットワークへの継続的なアクセスを獲得するという中国の戦略の転換を示しています。

結論: サイバースパイの脅威の増大

Earth Estries が活動を拡大し続ける中、中国とつながりのあるサイバースパイ集団の能力が高まっていることが浮き彫りになっています。高度なマルウェアの使用と、重要インフラ部門への重点化が相まって、脅威は組織化され進化していることがわかります。影響を受けている地域の組織にとって、警戒を強化し、サイバーセキュリティ対策を強化する必要性は、かつてないほど高まっています。