Gefahr durch langfristige und gezielte Angriffe

Die vom BSI als in Deutschland aktiv gelistete APT-Gruppe Earth Estries (auch bekannt als Salt Typhoon, FamousSparrow, GhostEmperor und UNC2286) wurde von Trend Micro in einem Blogbeitrag detailliert analysiert. Die Gruppe nimmt kritische Branchen weltweit ins Visier, um diese auszuspionieren.

Die Analyse gibt Einblicke in die langfristigen und gezielten Angriffe, zu denen sie ausgeklügelte Techniken und neue Backdoors nutzt.

Earth Estries hat seit 2023 vor allem kritische Sektoren wie Telekommunikation und Regierungsstellen in den USA, im asiatisch-pazifischen Raum, im Nahen Osten und in Südafrika ins Visier genommen. Dazu setzt die Gruppe fortschrittliche Angriffstechniken und mehrere Backdoors wie Ghostspider, Snappybee und Masol Rast ein.

Die Akteure nutzen Schwachstellen in öffentlich zugänglichen Servern aus, um einen ersten Zugang zu erhalten, und verwenden Binärdateien, die sich von selbst replizieren, um sich lateral in Netzwerken zu bewegen, Malware zu verbreiten und langfristige Spionage zu betreiben.

Earth Estries setzt auf einer komplexen C&C-Infrastruktur (Command and Control) auf, die von verschiedenen Teams verwaltet wird, und ihre Operationen überschneiden sich oft mit TTPs anderer bekannter chinesischer APT-Gruppen, was auf die mögliche Nutzung gemeinsamer Tools von Malware-as-a-Service-Anbietern hindeutet.

Bemerkenswerterweise nehmen die Angreifer nicht nur kritische Dienste (wie Datenbank- und Cloud-Server) ins Visier, sondern auch Lieferantennetzwerke. Die Forscher haben beobachtet, dass die Angreifer zum Beispiel das Demodex-Rootkit auf den Rechnern der Lieferanten installiert haben.

Earth Estries ist offenbar eine gut organisierte Gruppe mit einer klaren Arbeitsteilung. Basierend auf Beobachtungen aus mehreren Kampagnen vermuten die Trend-Micro-Experten, dass Angriffe, die auf verschiedene Regionen und Branchen abzielen, von unterschiedlichen Akteuren lanciert werden. Darüber hinaus scheine die C&C-Infrastruktur, die von verschiedenen Backdoors genutzt wird, von unterschiedlichen Infrastrukturteams verwaltet zu sein, was die Komplexität der Operationen der Gruppe weiter unterstreicht.
 

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Weitere Artikel zu TREND MICRO Deutschland GmbH

Sicherheitslücken gefährden 5G-Netze

Studie: Einsatz privater drahtloser Netzwerke wächst stark

Eine Herausforderung unserer Zeit 

KI-generierten Betrug verhindern

VicOne und ZDI: Pwn2Own Automotive 2025

Ethical Hacking für mehr Cybersicherheit in Fahrzeugen

Bericht von Trend Micro

So entwickelt sich der Cyber-Untergrund

CES 2025: Trend Micro und Intel

Gemeinsam gegen versteckte Bedrohungen

Weitere Artikel zu TREND MICRO Deutschland GmbH

Cybersicherheitsvorhersagen für 2025

Bedrohung durch bösartige digitale Zwillinge

Advertorial

Im Compliance-Dschungel den Überblick behalten

Trend Micro kommentiert BSI-Bericht 

Kann eine NIS2-Ausweitung helfen?

Zunehmender Missbrauch von GenAI

Deepfake-Tools werden allgegenwärtig

Webinar-Thementag DORA

Ein Act zur richtigen Zeit!?

Weitere Artikel zu Cybersecurity/Cybersicherheit

Cyan Guard 360

Cybersecurity für den Mittelstand

Advertorial

Channel Trends+Visions 2025 – IT-Zukunft hautnah erleben!

Security-Plattform in Deutschland

Arrow vertreibt SecureVisio-Lösung in Deutschland

World Cloud Security Day 2025

Bedeutung der Cloud-Sicherheit nicht unterschätzen

Ausbau von Expertise in Frankreich

Hornetsecurity übernimmt Altospam

Weitere Artikel zu Cybercrime

Ex-Mitarbeiter unter Verdacht

Riesiges Datenleck bei X

Bitdefender Labs: Gefahr durch RedCurl

Ransomware attackiert Hypervisoren

Vorsicht Vishing

Zahl der Voice-Phishing-Angriffe explodiert

Kaspersky warnt Unternehmen und Nutzer

Banking-Malware: 3,6-mal mehr Angriffe auf mobile Anwender

G Data auf der Learntec

Neue Kurse klären über Quishing und MFA-Fatigue auf