【安全资讯】深入分析Earth Estries在长期网络攻击中的持续战术、技术与程序

概要：

在网络安全领域，Earth Estries（又名Salt Typhoon）是一支活跃的高级威胁组织，自2020年以来一直在针对政府和科技行业进行攻击。本文将深入分析该组织的两条攻击链，揭示其利用系统漏洞、恶意软件和持续更新的策略，以维持对目标网络的控制和数据窃取。

主要内容：

Earth Estries的第一条攻击链利用了Microsoft Exchange服务器和网络适配器管理工具中的漏洞，采用PsExec和多种恶意工具（如Trillclient、Hemigate和Crowdoor）进行横向移动和凭证窃取。该组织通过不断更新工具，保持持久性，并利用后门进行数据收集和外泄。Trillclient被用于从浏览器缓存中窃取用户凭证，进一步巩固其在网络中的存在。

第二条攻击链则通过利用Microsoft Exchange服务器的漏洞，植入Web Shell（如ChinaChopper），并部署Cobalt Strike等后门。Earth Estries通过cURL下载恶意软件，进行横向移动，并利用RAR工具收集敏感文件。其攻击手法展示了对目标环境的深入理解，能够持续识别暴露的攻击面。

该组织的攻击手法包括DLL侧载和使用命令与控制（C&C）通道进行工具的部署，显示出其在应对防御措施时的适应能力。Earth Estries的复杂攻击策略和持续的技术更新，提醒我们在保护关键基础设施时必须保持高度警惕，并实施多层防御措施。