CẢNH BÁO CHIẾN DỊCH TẤN CÔNG CÓ CHỦ ĐÍCH CỦA NHÓM APT EARTH ESTRIES
Lượt xem:
Theo đề nghị của Sở Thông tin và Truyền thông tại Công văn số 2802/STTTT-BCVT&CNTT ngày 25/11/2024 về việc cảnh báo chiến dịch tấn công có chủ đích của nhóm APT Earth Estries;
Căn cứ Công văn 1088/TB-SGDĐT của Sở Giáo dục và Đào tạo Quảng Ngãi ngày 26/11/2024 về cảnh báo chiến dịch tấn công có chủ đích của nhóm APT Earth Estries;
Thông tin chi tiết các chiến dịch tấn công
Nhóm Earth Estries thực hiện các chiến dịch tấn công tinh vi bằng cách khai thác lỗ hổng trên các hệ thống như Microsoft Exchange và công cụ quản lý adapter mạng. Nhóm sử dụng các mã độc như Cobalt Strike, Crowdoor, Zingdoor, và SnappyBee để lây lan, duy trì kết nối, thu thập dữ liệu và che giấu lưu lượng mạng thông qua proxy nội bộ, đồng thời liên tục cập nhật công cụ để né tránh phát hiện. Các dữ liệu đánh cắp được trích xuất tới các dịch vụ chia sẻ file ẩn danh hoặc máy chủ C&C.
Ngoài các mã độc kể trên, hệ thống mục tiêu còn chứa mã độc Cryptmerlin có chức năng thực thi lệnh gửi tới từ máy chủ C&C và FuxosDoor mã độc cài vào IIS trên máy chủ Exchange, thực thi lệnh sử dụng cmd.exe.