Overheids- en telecommunicatiesectoren in Zuidoost -Azië zijn het doelwit geworden van een “geavanceerde” campagne die wordt uitgevoerd door een nieuwe geavanceerde persistent dreigingsgroep (APT) genaamd Earth Kurma Sinds juni 2024.
De aanvallen, per trend micro, hebben aangepaste malware, rootkits en cloudopslagservices gebruikt voor gegevens -exfiltratie. De Filippijnen, Vietnam, Thailand en Maleisië behoren tot de prominente doelen.
“Deze campagne vormt een hoog bedrijfsrisico als gevolg van gerichte spionage, diefstal van inrichtingen, aanhoudende positie die is vastgesteld door kernel-niveau rootkits en data-exfiltratie via vertrouwde cloudplatforms,” zei beveiligingsonderzoekers Nick Dai en Sunny Lu in een analyse die vorige week werd gepubliceerd.
De activiteiten van de dreigingsacteur dateren uit november 2020, waarbij de intrusies voornamelijk afhankelijk zijn van services zoals Dropbox en Microsoft OneDrive om gevoelige gegevens te overhangen met behulp van tools zoals Tesdat en SimpoboxSpy.
Twee andere opmerkelijke malwarefamilies in zijn arsenaal omvatten rootkits zoals Krnrat en Moriya, waarvan de laatste eerder is waargenomen in aanvallen gericht op spraakmakende organisaties in Azië en Afrika als onderdeel van een spionage-campagne nagesynchroniseerd tunnelsnake.
Trend Micro zei ook dat SimpoboxSpy en het exfiltratiescript dat wordt gebruikt in de aanvallen die overlapt met een andere apt groep codenaam Toddycat. Een definitieve toeschrijving blijft echter niet doorslaggevend.
Het is momenteel niet bekend hoe de dreigingsacteurs initiële toegang krijgen tot doelomgevingen. De eerste voet aan de grond wordt vervolgens misbruikt om te scannen en laterale beweging te voeren met behulp van een verscheidenheid aan hulpmiddelen zoals NBTSCAN, LADON, FRPC, WMIHACKER en ICMPINGER. Ook is een keylogger geïmplementeerd die KMlog wordt genoemd om referenties te oogsten.
Het is vermeldenswaard dat het gebruik van het Open-source Ladon-framework eerder is toegeschreven aan een China-gekoppelde hackgroep genaamd TA428 (aka Vicious Panda).
Persistentie op de hosts wordt bereikt door drie verschillende laderstammen die dunloader, Tesdat en DMLoader worden genoemd, die in staat zijn om de volgende fase payloads in het geheugen te laden en deze uit te voeren. Deze bestaan uit kobaltstakingsbakens, rootkits zoals Krnrat en Moriya, evenals data -exfiltratiemalware.
Wat deze aanvallen onderscheidt, is het gebruik van Living-off-the-Land (LOTL) -technieken om de Rootkits te installeren, waarbij hackers legitieme systeemtools en functies gebruiken, in dit geval SysSetup.dll, in plaats van gemakkelijk detecteerbare malware te introduceren.
Terwijl Moriya is ontworpen om inkomende TCP-pakketten te inspecteren voor een kwaadwillende payload en ShellCode injecteert in een nieuw voortgebracht “svchost.exe” -proces, is Krnrat een samensmelting van vijf verschillende open-source projecten met mogelijkheden zoals procesmanipulatie, bestandsbehuizing, verhoging van de shellcode, verkeersovereenkomst, verkeersoverschrijdende, verkeersoverschrijdende, encommando’s.
Krnrat is net als Moriya ook ontworpen om een gebruikersmodusagent de rootkit te laden en te injecteren in “svchost.exe.” De gebruikersmodusagent dient als een achterdeur om een vervolgpayload van de C2-server op te halen.
“Voordat de bestanden worden geëxfiltreerd, hebben verschillende opdrachten uitgevoerd door de lader Tesdat specifieke documentbestanden verzameld met de volgende extensies: .pdf, .doc, .docx, .xls, .xlsx, .ppt en .pptx,” zeiden de onderzoekers. “De documenten worden eerst geplaatst in een nieuw gemaakte map genaamd” TMP “, die vervolgens wordt gearchiveerd met WinRar met een specifiek wachtwoord.”
Een van de op maat gemaakte tools die worden gebruikt voor gegevens -exfiltratie is SimpoBoxSpy, die het RAR -archief naar Dropbox kan uploaden met een specifiek toegangstoken. Volgens een Kasperksy -rapport van oktober 2023 wordt de generieke dropbox -uploader “waarschijnlijk niet exclusief gebruikt door Toddycat.”
Odriz, een ander programma dat voor hetzelfde doel wordt gebruikt, uploadt de verzamelde informatie naar OneDrive door het OneDrive Refresh -token op te geven als een invoerparameter.
“Earth Kurma blijft zeer actief en blijft zich richten op landen in Zuidoost -Azië,” zei Trend Micro. “Ze hebben het vermogen om zich aan te passen aan slachtofferomgevingen en een heimelijke aanwezigheid te behouden.”
“Ze kunnen ook dezelfde codebasis hergebruiken van eerder geïdentificeerde campagnes om hun toolsets aan te passen, soms zelfs het gebruik van de infrastructuur van het slachtoffer om hun doelen te bereiken.”
