Vladini i telekomunikacijski sektori u jugoistočnoj Aziji postali su meta „sofisticirane“ kampanje koju od juna 2024. godine vodi nova napredna prijetnja (APT) grupa nazvana Earth Kurma.
Prema podacima kompanije Trend Micro, napadi koriste prilagođeni malver, rootkite i cloud servise za izvlačenje podataka. Među glavnim ciljevima su Filipini, Vijetnam, Tajland i Malezija.
„Ova kampanja predstavlja visok poslovni rizik zbog ciljanog špijuniranja, krađe kredencijala, trajnog uporišta uspostavljenog putem rootkita na nivou kernela, te izvlačenja podataka preko pouzdanih cloud platformi,“ rekli su istraživači sigurnosti Nick Dai i Sunny Lu u analizi objavljenoj prošle sedmice.
Aktivnosti ove prijetnje datiraju iz novembra 2020. godine, a napadi se prvenstveno oslanjaju na servise poput Dropboxa i Microsoft OneDrive-a za izvlačenje osjetljivih podataka koristeći alate kao što su TESDAT i SIMPOBOXSPY.
Druge dvije značajne porodice malvera u njihovom arsenalu uključuju rootkite kao što su KRNRAT i Moriya, pri čemu je Moriya ranije viđena u napadima na visoko-profilne organizacije u Aziji i Africi u okviru špijunske kampanje nazvane TunnelSnake.
Trend Micro takođe navodi da SIMPOBOXSPY i skripta za izvlačenje podataka korištena u napadima dijele sličnosti s drugom APT grupom kodnog imena ToddyCat, iako konačna atribucija još uvijek nije potvrđena.
Trenutno nije poznato kako napadači ostvaruju inicijalni pristup ciljanim okruženjima. Nakon uspostavljanja početnog uporišta, koriste se za skeniranje i lateralno kretanje kroz mrežu koristeći razne alate kao što su NBTSCAN, Ladon, FRPC, WMIHACKER i ICMPinger. Takođe se implementira keylogger poznat kao KMLOG za krađu kredencijala.
Vrijedi napomenuti da se korištenje open-source Ladon frameworka prethodno pripisivalo hakerskoj grupi povezanoj s Kinom, poznatoj kao TA428 (takođe zvanoj Vicious Panda).
Trajnost na kompromitiranim uređajima ostvaruje se putem tri različita učitavača poznata kao DUNLOADER, TESDAT i DMLOADER, koji su sposobni učitavati naredne faze malvera u memoriju i izvršavati ih. Među njima su Cobalt Strike Beaconi, rootkiti poput KRNRAT-a i Moriye, kao i malver za izvlačenje podataka.
Ono što izdvaja ove napade je korištenje tehnika „življenja od zemlje“ (Living-off-the-Land – LotL) za instalaciju rootkita, pri čemu hakeri koriste legitimne sistemske alate i funkcije, u ovom slučaju syssetup.dll, umjesto da uvode lako otkrive malvere.
Dok je Moriya razvijena za pregled dolaznih TCP paketa u potrazi za malicioznim sadržajem i injekciju shellcodea u novo pokrenuti „svchost.exe“ proces, KRNRAT predstavlja kombinaciju pet različitih open-source projekata s mogućnostima poput manipulacije procesima, skrivanja fajlova, izvršavanja shellcodea, prikrivanja saobraćaja i komunikacije sa komandno-kontrolnim (C2) serverima.
KRNRAT, kao i Moriya, takođe je dizajnisan za učitavanje korisničkog agenta iz rootkita i njegovu injekciju u „svchost.exe“ proces. Korisnički agent služi kao backdoor za preuzimanje narednog malvera s C2 servera.
„Prije izvlačenja fajlova, nekoliko naredbi koje je izvršio učitavač TESDAT sakuplja specifične dokumente s ekstenzijama: .pdf, .doc, .docx, .xls, .xlsx, .ppt i .pptx,“ rekli su istraživači. „Dokumenti se prvo stavljaju u novo kreirani folder nazvan ‘tmp’, koji se zatim arhivira pomoću WinRAR-a s određenom lozinkom.“
Jedan od prilagođenih alata za izvlačenje podataka je SIMPOBOXSPY, koji može prenijeti RAR arhivu na Dropbox koristeći specifičan pristupni token. Prema izvještaju Kasperskyja iz oktobra 2023., generički Dropbox uploader „vjerovatno nije ekskluzivno korišten samo od strane ToddyCat grupe.“
ODRIZ, još jedan program korišten za isti cilj, prenosi prikupljene informacije na OneDrive specificirajući OneDrive refresh token kao ulazni parametar.
„Earth Kurma ostaje veoma aktivna, nastavljajući ciljati zemlje širom jugoistočne Azije,“ navodi Trend Micro. „Imaju sposobnost prilagođavanja okruženju žrtve i održavanja prikrivene prisutnosti.“
„Takođe mogu reciklirati istu bazu koda iz prethodno identificiranih kampanja kako bi prilagodili svoje alate, ponekad čak koristeći infrastrukturu žrtve za ostvarenje svojih ciljeva.“
Izvor:The Hacker News