Kötü şöhretli tehdit grubu FamousSparrow ile örtüşen Earth Estries adlı yeni ve gelişmiş bir siber casusluk grubu açıklandı.

Grup 2020’den beri aktif ve bilgisayar korsanlığı araçları ve arka kapılar kullanan çok sayıda devlet ve teknoloji kuruluşunu hedefliyor.

Trend Micro, bu grubun kullandığı taktik ve tekniklere ilişkin en son araştırma raporunu yayınladı.

Windows Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü’nün (AMSI) günlük kaydı mekanizması tarafından algılanmayı önlemek için PowerShell sürüm düşürme saldırılarını kullanırlar.

Buna ek olarak Cobalt Strike, PlugX veya Meterpreter aşamalandırıcıları gibi yaygın olarak kullanılan uzaktan kumanda araçlarını kullanırlar. Bu araçlar, özel yükleyici DLL’leri tarafından yüklenen şifrelenmiş veriler olarak gelir.

Her kötü amaçlı yazılım dağıtımından sonra verileri bir klasörde arşivlediler. PDF ve DDF dosyalarını hedeflerler ve bunları curl.exe aracılığıyla AnonFiles veya File.io’ya yüklerler.

Tespit edilmekten kaçınmak için, operasyona her başladıklarında yeni bir kötü amaçlı yazılım kullanıyorlar. C&C sunucuları farklı ülkelerde bulunan sanal özel sunucu (VPS) hizmetlerinde barındırılmaktadır ve IP’lerini gizlemek için fastlyCDN hizmetlerini kullanırlar.

Filipinler, Tayvan, Malezya, Güney Afrika, Almanya ve ABD merkezli hükümet ve teknoloji sektörlerindeki  kuruluşları hedef alıyorlar .

 Ayrıca aktörler, komutları ve çalınan verileri takas etmek veya aktarmak için Github, Gmail, AnonFiles ve File.io gibi kamu hizmetlerini kötüye kullanıyor.