【安全资讯】Earth Estries的进化工具包：深入探讨其先进技术

概要：

近年来，网络间谍活动愈发猖獗，Earth Estries（又称Salt Typhoon）便是其中一个活跃的黑客组织。自2020年以来，该组织主要针对政府和科技公司，通过复杂的多步骤攻击链进行渗透。Trend Micro的最新报告揭示了Earth Estries的攻击手法及其工具包的演变，显示出其在保持隐蔽性和持续访问受害环境方面的决心。

主要内容：

Trend Micro的分析指出，Earth Estries采用了两条不同的感染链，每条链都有独特的工具和战术。第一条链利用PsExec和WMI命令行进行横向移动，使用Cobalt Strike、Trillclient、Hemigate和Crowdoor等工具。这些工具通过CAB文件包引入，允许在目标网络中无缝分发和执行。Trillclient特别用于从浏览器缓存中提取用户凭证，进一步扩展了该组织的渗透范围。

第二条感染链则专注于利用Microsoft Exchange服务器的漏洞，使用ChinaChopper网络壳植入Cobalt Strike及其他后门，如Zingdoor和SnappyBee。这些后门的交付方式包括通过C&C服务器或使用cURL从攻击者控制的服务器下载，确保恶意软件组件的定期更新和替换，增加了检测的难度。

Earth Estries还引入了新的后门Crowdoor，作为Hemigate的更新版本，具备更先进的命令结构以确保有效的持久性和隐蔽性。该组织通过调度任务、DLL侧加载和远程服务创建等复杂策略维持访问，利用cURL工具将敏感数据上传至匿名文件共享网站，确保数据外泄过程的隐蔽性。Trend Micro警告称，Earth Estries对目标环境的深刻理解使其能够精准地穿越复杂网络，成为对政府和科技基础设施的重大威胁。