Earth Baku, napadalec APT, povezan z APT41, je od konca leta 2022 razširil svoje operacije iz indo-pacifiške regije v Evropo, Bližnji vzhod in Afriko, ciljal pa je na države kot so Italija, Nemčija, ZAE in Katar.
Skupina izkorišča kompromitirane strežnike IIS za izvajanje napredne zlonamerne programske opreme, kot so StealthVector, StealthReacher in modularni zadnji vhod SneakCross.
Te orodja, ki uporabljajo tehnike, kot so AES šifriranje in zamegljevanje kode, omogočajo trajne prisotnosti, odvajanje podatkov ter ukaze in nadzor preko Google storitev.
Napadalec Earth Baku, ki je sprva deloval v indo-pacifiški regiji, je razširil svoje operacije v Evropo, Bližnji vzhod in Afriko ter ciljal na Italijo, Nemčijo, ZAE in Katar, z možnimi grožnjami za Gruzijo in Romunijo.
Kritični infrastrukturni sektorji, vključno z vladami, mediji, telekomunikacijami, tehnologijo, zdravstvom in izobraževanjem, so prioritizirani v teh regijah, kar kaže na široko spektralno vohunsko kampanjo.
Skupina izkorišča javno dostopne strežnike IIS za namestitev spletne školjke Godzilla, ki omogoča začetni dostop. Nato uvajajo zadnja vrata StealthVector, Cobalt Strike in SneakCross preko tega pristopa.
Za ohranjanje trajnega nadzora skupina vzpostavlja povratne tunele preko javno dostopnih orodij in uporablja MEGAcmd za potencialno odvajanje podatkov.
Earth Baku uporablja StealthVector, prilagojen zaganjalnik zadnjih vrat, za tiho nameščanje svojih zlonamernih komponent. Letošnje leto je napadalec razširil svoj arzenal z zaganjalniki CobaltStrike in SneakCross (aka MoonWalk), kar kaže na strateški premik k bolj raznolikim in potencialno izmuzljivim tehnikam za začetni dostop ter nadaljnje ukaze in nadzor.
Nova odkrita zlonamerna programska oprema StealthVector močno spominja na svojega predhodnika iz leta 2021, saj ohranja podobno konfiguracijsko strukturo, hkrati pa uporablja AES šifriranje namesto prilagojenega ChaCha20.
Da bi se izognili zaznavanju, zlonamerna programska oprema onemogoči sledenje dogodkom za Windows in nadzor pretoka, izprazni legitimne DLL-je, da skrije zlonamerno kodo ter zagotovi skrivno izvajanje komponent zadnjih vrat.
StealthReacher, izboljšana različica StealthVector, uporablja napredno zamegljevanje kot je FNV1-a za izogibanje obrambi z uporabo AES šifriranja in MD5 heširanja za zaščito nalaganja. V nasprotju s svojim predhodnikom StealthReacher služi kot izključni zaganjalnik za nova modularna zadnja vrata, SneakCross.
Obe različici zlonamerne programske opreme uvajata dinamično plast ponovnega šifriranja z uporabo XOR in imena računalnika žrtve, kar bistveno oteži digitalno forenzično analizo zaradi zapletenosti dešifriranja časovno spremenljivih nalaganj.
Po podatkih Trend Micro SneakCross, modularna zadnja vrata, ki nasledijo ScrambleCross, uporabljajo Google storitve za komunikacijo C2 in uporabljajo Windows Fibers za izmikanje zaznavanju.
Njena modularna arhitektura podpira raznolike funkcionalnosti z najmanj 15 identificiranimi vtičniki, vključno z lupino, datotekami in procesnimi operacijami, sondiranjem in manipuliranjem mreže, zajemanjem zaslona, zbiranjem informacij o sistemu, beleženjem tipk, interakcijo z Active Directory, nalaganjem datotek, RDP, nadzorom DNS, spreminjanjem registra in več.
Z uporabo naprednih taktik Earth Baku izkorišča orodja, kot so prilagojeni iox, Rakshasa in Tailscale za trajni dostop, medtem ko uporablja Megacmd za odvajanje ukradenih podatkov.
Skupina je razširila svoje operacije izven indo-pacifiške regije, kar kaže napredne sposobnosti z uporabo orodij, kot so Godzilla spletna školjka, StealthVector, StealthReacher in SneakCross za začetni dostop, lateralno gibanje in ukaze ter nadzor.
