Cybersecurity-onderzoekers hebben licht geworpen op een nieuwe China-gekoppelde dreigingsacteur genaamd Earth Alux Dat heeft zich gericht op verschillende belangrijke sectoren zoals overheid, technologie, logistiek, productie, telecommunicatie, IT-diensten en detailhandel in de regio’s Azië-Pacific (APAC) en Latijns-Amerikaanse (Latam).
“De eerste waarneming van zijn activiteit was in het tweede kwartaal van 2023; in die tijd werd het voornamelijk waargenomen in het APAC -gebied,” zei trend micro -onderzoekers Lenart Bermejo, Ted Lee en Theo Chen in een technisch rapport dat maandag werd gepubliceerd. “Rond het midden van 2024 werd het ook gespot in Latijns -Amerika.”
De primaire doelen van de tegenstanders van collectieve spanlanden zoals Thailand, de Filippijnen, Maleisië, Taiwan en Brazilië.
De infectieketens beginnen met de exploitatie van kwetsbare services in op internet blootgestelde webapplicaties, waarbij ze worden gebruikt om de Godzilla-webshell te laten vallen voor het faciliteren van de implementatie van extra payloads, waaronder backdoors genaamd Vargeit en Cobalt (aka Cobalt Strike Beacon).
Vargeit biedt de mogelijkheid om tools rechtstreeks van de command-and-control (C&C) -server te laden tot een nieuw voortgebracht proces van Microsoft Paint (“mspaint.exe”) om verkenning, verzameling en exfiltratie te vergemakkelijken.
“Vargeit is ook de belangrijkste methode waardoor Earth Alux aanvullende hulpmiddelen exploiteert voor verschillende taken, zoals laterale beweging en netwerkontdekking op een filess,” zeiden de onderzoekers.
Een punt dat hier het vermelden waard is, is dat terwijl Vargeit wordt gebruikt als een eerste, tweede of later stadium achterdeur, Cobeacon wordt gebruikt als een eerste fase achterdeur. De laatste wordt gelanceerd door middel van een lader genaamd Masqloader, of via RSBinject, een op roest gebaseerde opdrachtregel shellcode-lader.
Daaropvolgende iteraties van MASQLoader zijn ook waargenomen het implementeren van een anti-API-haaktechniek die alle NTDLL.dll-haken die door beveiligingsprogramma’s worden ingevoegd, overschrijft om verdachte processen op Windows te detecteren, waardoor de malware en de ingebedde payload erin kan vliegen om onder de radar te vliegen.
De uitvoering van Vargeit resulteert in de implementatie van meer tools, waaronder een ladercomponent codenaam Railload die wordt uitgevoerd met behulp van een techniek die bekend staat als DLL-side-loading, en wordt gebruikt voor het uitvoeren van een gecodeerde payload in een andere map.
De tweede payload is een doorzettingsvermogen en tijdstipmodule aangeduid als Railsetter die de tijdstempels verandert die zijn gekoppeld aan Railload -artefacten op de gecompromitteerde host, naast het maken van een geplande taak om Railload te starten.
“Masqloader wordt ook gebruikt door andere groepen naast Earth Alux,” zei Trend Micro. “Bovendien suggereert het verschil in de codestructuur van Masqloader in vergelijking met andere tools zoals Railsetter en Railload dat de ontwikkeling van Masqloader los staat van die toolsets.”
Het meest onderscheidende aspect van Vargeit is het vermogen om 10 verschillende kanalen te ondersteunen voor C & C-communicatie via HTTP, TCP, UDP, ICMP, DNS en Microsoft Outlook, waarvan de laatste de grafiek API gebruikt om opdrachten in een vooraf bepaald formaat in een vooraf bepaald formaat in een vooraf bepaald formaat te ruilen in een vooraf bepaald formaat met behulp van de concepten map van een aanvaller-managed mailbox.
Specifiek is het bericht van de C & C -server voorgelegd met R_, terwijl die van de achterdeur worden voorafgegaan met P_. Een van de brede scala aan functies is de uitgebreide gegevensverzameling en opdrachtuitvoering, waardoor het een krachtige malware is in het arsenaal van de dreigingsacteur.
“Earth Alux voert verschillende tests uit met Railload en Railsetter,” zei Trend Micro. “Deze omvatten detectietests en pogingen om nieuwe hosts te vinden voor DLL-side-loading. Dll-side-loading-tests omvatten ZeroEye, een open source-tool die populair is binnen de Chinees sprekende gemeenschap, voor het scannen van de importtafels van EXE-bestanden voor geïmporteerde DLL’s die kunnen worden misbruikt voor side-loading.”
De hackgroep is ook gevonden om Virdest te gebruiken, een andere testtool die veel wordt gebruikt door de Chinese sprekende gemeenschap, om ervoor te zorgen dat haar tools heimelijk genoeg zijn om de toegang op lange termijn tot doelomgevingen te behouden.
“Earth Alux vertegenwoordigt een geavanceerde en evoluerende cyberspionage -dreiging, die gebruik maakt van een diverse toolkit en geavanceerde technieken om een reeks sectoren te infiltreren en compromitteren, met name in de APAC -regio en Latijns -Amerika,” concludeerden de onderzoekers. “De voortdurende tests en ontwikkeling van de groep van haar tools duidt verder op een verbintenis om zijn capaciteiten te verfijnen en detectie te ontwijken.”
