O cenário de segurança cibernética está em constante evolução, com grupos de ameaças persistentes avançadas (APTs) desenvolvendo continuamente novas técnicas de ataque. Um dos grupos mais sofisticados e ativos recentemente é o Earth Estries, também conhecido como Salt Typhoon, que tem como alvo principalmente empresas de telecomunicações e entidades governamentais em todo o mundo.
O Arsenal do Earth Estries
O Earth Estries utiliza um conjunto diversificado de ferramentas maliciosas em seus ataques. Entre as mais recentes adições ao seu arsenal está o GhostSpider, um backdoor altamente modular e adaptável[1][4]. Essa ferramenta permite que os atacantes executem diferentes funções específicas, tornando a detecção e análise mais desafiadoras para os defensores.
Além do GhostSpider, o grupo emprega outros malwares sofisticados, incluindo:
- Masol RAT: Um backdoor para sistemas Linux
- Demodex: Um rootkit para persistência no sistema
- SnappyBee: Um backdoor modular compartilhado entre grupos APT chineses[2]
Técnicas de Exploração
O Earth Estries é conhecido por explorar vulnerabilidades em dispositivos expostos à internet, focando em falhas recentemente divulgadas que as organizações podem não ter tido tempo de corrigir. Algumas das vulnerabilidades mais exploradas pelo grupo incluem:
- CVE-2023-46805 e CVE-2024-21887: Afetam o Ivanti Connect Secure VPN
- CVE-2023-48788: Uma vulnerabilidade de injeção SQL no Fortinet Enterprise Management Server
- CVE-2022-3236: Um problema de injeção de código em firewalls Sophos[4]
A combinação das vulnerabilidades CVE-2023-46805 e CVE-2024-21887 é particularmente perigosa, pois permite a execução remota de código sem autenticação em dispositivos Ivanti Connect Secure e Policy Secure[5][7].
Metodologia de Ataque
O grupo utiliza uma abordagem sofisticada em suas operações:
- Exploração inicial: Aproveitam vulnerabilidades em dispositivos expostos à internet para obter acesso inicial.
- Movimento lateral: Utilizam ferramentas legítimas como WMIC.exe e PsExec para se movimentar na rede comprometida.
- Persistência: Implantam backdoors como GhostSpider para manter o acesso de longo prazo.
- Exfiltração de dados: Utilizam uma infraestrutura de comando e controle (C2) complexa para extrair informações sensíveis[1].
Impacto Global
As atividades do Earth Estries têm um alcance global significativo. O grupo já comprometeu organizações em quatro continentes, com foco especial no Sudeste Asiático. Seus alvos incluem empresas de telecomunicações, tecnologia, consultoria, química e transporte, além de agências governamentais[4].
Nos Estados Unidos, o grupo conseguiu invadir provedores de serviços de telecomunicações importantes, como Verizon, AT&T, Lumen Technologies e T-Mobile, chegando até mesmo a interceptar comunicações privadas de funcionários do governo[2].
Medidas de Proteção
Para se proteger contra ataques do Earth Estries e grupos similares, as organizações devem:
- Manter sistemas e softwares atualizados, aplicando patches de segurança rapidamente.
- Implementar uma estratégia de defesa em profundidade, incluindo firewalls de aplicativos web (WAF).
- Monitorar ativamente a rede em busca de atividades suspeitas.
- Utilizar autenticação multifator e segmentação de rede.
- Treinar funcionários para reconhecer e reportar atividades suspeitas[8].
A ameaça representada pelo Earth Estries destaca a importância de uma abordagem proativa e abrangente à segurança cibernética. À medida que os ataques se tornam mais sofisticados, as organizações devem permanecer vigilantes e adaptar continuamente suas defesas para proteger seus ativos digitais críticos.
Citations:
[1] https://cyberscoop.com/salt-typhoon-us-telecom-hack-earth-estries-trend-micro-report/
[2] https://www.bleepingcomputer.com/news/security/salt-typhoon-hackers-backdoor-telcos-with-new-ghostspider-malware/
[3] https://www.stormshield.com/news/security-alert-cve-2023-46805-cve-2024-21887-stormshield-products-response/
[4] https://vulnera.com/newswire/ghostspider-new-addition-to-salt-typhoons-malware-toolkit/
[5] https://www.picussecurity.com/resource/blog/ivanti-cve-2023-46805-and-cve-2024-21887-zero-day-vulnerabilities
[6] https://www.darkreading.com/application-security/salt-typhoon-malware-arsenal-ghostspider
[7] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21887
[8] https://www.akamai.com/blog/security-research/ivanti-january-rce-cve-zero-day-exploitation-observed
