Das Sicherheitsunternehmen Trend Micro beobachtet seit Beginn dieses Jahres eine neue Cyberspionagekampagne einer bislang unbekannten APT-Gruppierung. Die Sicherheitsforscher gaben der Gruppierung den Namen „Earth Estries“. Die Gruppierung verfügt über umfangreiche Ressourcen und Fähigkeiten in der Durchführung von Cyberangriffen.
Die aktuelle Kampagne zielt auf existierende Accounts mit privilegierten Rechten in IT-Infrastrukturen ab. Nach einer erfolgreichen Kompromittierung wird Cobalt Strike für Lateral Movement eingesetzt und diverse weitere Malware nachgeladen. Des Weiteren nutzen die Angreifer das Samba-Protokoll (SMB) sowie die WMI Commandline (WMIC). Bei den von den Angreifern gesammelten Daten handelt es sich hauptsächlich um PDF- und DDF-Dateien, die im Anschluss mittels curl.exe zu den Online-Speicherdiensten AnonFiles oder File.io exfiltriert werden.
Bei den Angriffen wurde eine bislang unbekannte HTTP-Backdoor – die den Namen Zingdoor erhielt – eingesetzt, die als mpclient.dll getarnt war und unter Missbrauch der Windows Defender Datei msseces.exe über DLL-Sideloading gestartet wird. Um Persistenz zu erreichen, wird die Backdoor als Windows Service unter dem Namen „MsSecEsSvc“ registriert. Trend Micro stellt einen ausführlichen Analysebericht mit IOCs zur Verfügung.
Die Kampagne zielte bislang auf regierungsnahe Organisationen und Tech-Unternehmen ab. Auch deutsche Entitäten waren bereits von den Angriffen betroffen. Die Cyberabwehr des Landesamtes für Verfassungsschutz Baden-Württemberg empfiehlt potenziell betroffenen Organisationen eine Überprüfung der internen Systeme anhand der zur Verfügung gestellten IOCs. Soweit hierbei verdächtige Aktivitäten festgestellt werden, sollte dies umgehend den Sicherheitsbehörden mitgeteilt werden.