Chinese hackers gebruiken GHOSTSPIDER-malware om telecombedrijven in meer dan twaalf landen te hacken

Er is waargenomen dat de aan China gelieerde bedreigingsacteur, bekend als Earth Estries, een voorheen ongedocumenteerde achterdeur genaamd GHOTSPIDER gebruikte als onderdeel van zijn aanvallen op Zuidoost-Aziatische telecommunicatiebedrijven.

Trend Micro, die de hackgroep omschreef als een agressieve geavanceerde persistente dreiging (APT), zei dat de inbraken ook gepaard gingen met het gebruik van een andere platformonafhankelijke achterdeur genaamd MASOL RAT (ook bekend als Backdr-NQ) op Linux-systemen die behoren tot Zuidoost-Aziatische overheidsnetwerken.

In totaal heeft Earth Estries naar schatting met succes meer dan twintig entiteiten in gevaar gebracht, waaronder de telecommunicatie-, technologie-, advies-, chemische en transportsector, overheidsinstanties en non-profitorganisaties (NGO’s).

Slachtoffers zijn geïdentificeerd in meer dan een dozijn landen, waaronder Afghanistan, Brazilië, Eswatini, India, Indonesië, Maleisië, Pakistan, de Filippijnen, Zuid-Afrika, Taiwan, Thailand, de VS en Vietnam.

De aandelen van Earth Estries overlappen met clusters die door andere cyberbeveiligingsleveranciers worden gevolgd onder de namen FamousSparrow, GhostEmperor, Salt Typhoon en UNC2286. Er wordt gezegd dat het actief is sinds ten minste 2020 en gebruik maakt van een breed scala aan malwarefamilies om telecommunicatie- en overheidsinstanties in de VS, de regio Azië-Pacific, het Midden-Oosten en Zuid-Afrika te doorbreken.

Volgens een rapport van The Washington Post van vorige week zou de hackgroep alleen al in de VS meer dan een dozijn telecombedrijven zijn binnengedrongen. Maar liefst 150 slachtoffers zijn geïdentificeerd en op de hoogte gebracht door de Amerikaanse regering.

Enkele van de opmerkelijke tools in het malwareportfolio zijn de Demodex-rootkit en Deed RAT (ook bekend als SNAPPYBEE), een vermoedelijke opvolger van ShadowPad, die op grote schaal wordt gebruikt door verschillende Chinese APT-groepen. Ook gebruikt door backdoors van bedreigingsactoren en informatiestelers zoals Crowdoor, SparrowDoor, HemiGate, TrillClient en Zingdoor.

De initiële toegang tot doelnetwerken wordt vergemakkelijkt door misbruik van N-day beveiligingsfouten in Ivanti Connect Secure (CVE-2023-46805 en CVE-2024-21887), Fortinet FortiClient EMS (CVE-2023-48788), Sophos Firewall (CVE- 2022-3236), Microsoft Exchange-server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065, ook bekend als ProxyLogon).

De aanvallen maken vervolgens de weg vrij voor de inzet van aangepaste malware zoals Deed RAT, Demodex en GHOSTSPIDER om cyberspionageactiviteiten op de lange termijn uit te voeren.

“Earth Estries is een goed georganiseerde groep met een duidelijke taakverdeling”, aldus veiligheidsonderzoekers Leon M. Chang, Theo Chen, Lenart Bermejo en Ted Lee. “Gebaseerd op observaties uit meerdere campagnes speculeren we dat aanvallen gericht op verschillende regio’s en industrieën door verschillende actoren worden gelanceerd.”

“Bovendien lijkt de (command-and-control) infrastructuur die door verschillende achterdeurtjes wordt gebruikt, te worden beheerd door verschillende infrastructuurteams, wat de complexiteit van de activiteiten van de groep verder benadrukt.”

GHOTSPIDER is een geavanceerd en multimodulair implantaat en communiceert met de door de aanvaller bestuurde infrastructuur met behulp van een aangepast protocol dat wordt beschermd door Transport Layer Security (TLS) en haalt extra modules op die de functionaliteit ervan kunnen aanvullen als dat nodig is.

“Earth Estries voert heimelijke aanvallen uit die beginnen vanaf edge-apparaten en zich uitbreiden naar cloudomgevingen, waardoor detectie een uitdaging wordt”, aldus Trend Micro.

“Ze gebruiken verschillende methoden om operationele netwerken op te zetten die hun cyberspionageactiviteiten effectief verbergen, wat een hoog niveau van verfijning aantoont in hun aanpak van het infiltreren en monitoren van gevoelige doelen.”

Telecommunicatiebedrijven stonden de afgelopen jaren in het vizier van verschillende aan China gelieerde dreigingsgroepen, zoals Granite Typhoon en Liminal Panda.

Cyberbeveiligingsbedrijf CrowdStrike vertelde The Hacker News dat de aanvallen een significante volwassenheid van het Chinese cyberprogramma benadrukken, dat is verschoven van geïsoleerde aanvallen naar het verzamelen van bulkgegevens en het op langere termijn richten op Managed Service Providers (MSP’s), Internet Service Providers (ISP’s), en platformaanbieders.

Thijs Van der Does