【安全资讯】揭示长期网络入侵：Earth Estries的网络攻击

概要：

近年来，Earth Estries，一个活跃的APT组织，持续对全球多个关键行业发起网络攻击，尤其是通信和政府部门。自2023年以来，该组织利用先进的攻击技术和多种后门程序，影响了包括美国、亚太地区和南非在内的多个国家的超过20个组织。本文将深入分析Earth Estries的攻击手法及其潜在影响。

主要内容：

Earth Estries自2023年起，主要针对公共服务和政府机构，采用复杂的命令与控制（C&C）基础设施，利用已知的安全漏洞进行攻击。该组织的攻击手法包括利用Ivanti Connect Secure VPN和Fortinet FortiClient等多个N-day漏洞，成功获取初始访问权限，并通过living-off-the-land技术在网络内横向移动，部署恶意软件进行长期间谍活动。

在其攻击中，Earth Estries使用了多种后门程序，如GHOSTSPIDER和SNAPPYBEE，这些工具的使用显示出该组织与其他APT团体的战术、技术和程序（TTPs）存在重叠，暗示其可能使用了来自恶意软件即服务（MaaS）提供商的共享工具。特别是GHOSTSPIDER的出现，标志着其攻击手法的进一步演变，具备多模块化设计，能够根据特定需求加载不同模块，增强了其灵活性和隐蔽性。

此外，Earth Estries还通过植入DEMODEX根套件在受害者网络中保持隐蔽，确保其长期存在。该组织的攻击不仅影响了通信行业，还波及到技术、咨询和非政府组织等多个领域，造成了严重的数据泄露和安全隐患。随着其攻击手法的不断演进，组织和安全团队必须加强防御，以应对日益复杂的网络威胁。