HackerNews 编译,转载请注明出处:
趋势科技(Trend Micro)近日披露,自2024年6月起,一个名为Earth Kurma的高级持续性威胁(APT)组织对东南亚多国政府及电信行业发起复杂攻击。该组织使用定制化恶意软件、内核级Rootkit及云存储服务实施间谍活动,已造成高业务风险。主要受害国家包括菲律宾、越南、泰国和马来西亚。
安全研究人员Nick Dai和Sunny Lu在上周发布的分析中表示:“由于针对性间谍活动、凭证窃取、通过内核级Rootkit建立的持久驻留,以及通过可信云平台进行数据外泄,此次攻击活动构成较高的业务风险。”
该威胁组织的活动可追溯至2020年11月。其入侵主要依赖Dropbox和Microsoft OneDrive等服务,使用TESDAT和SIMPOBOXSPY等工具窃取敏感数据。
其武器库中还包括KRNRAT和Moriya等Rootkit。后者此前曾被观察到用于针对亚洲和非洲知名组织的攻击,属于代号TunnelSnake的间谍行动。
趋势科技称,攻击中使用的SIMPOBOXSPY和数据外泄脚本与另一个代号ToddyCat的APT组织存在相似性,但尚未明确归属关系。
目前尚不清楚攻击者如何初始侵入目标环境。其利用初始驻留点扫描网络并通过NBTSCAN、Ladon、FRPC、WMIHACKER和ICMPinger等工具横向移动,同时部署名为KMLOG的键盘记录器窃取凭证。
攻击者通过三种加载器(DUNLOADER、TESDAT和DMLOADER)实现主机持久化。这些加载器能将后续载荷加载到内存并执行,包括Cobalt Strike Beacons、KRNRAT和Moriya等Rootkit,以及数据窃取恶意软件。
此类攻击的独特之处在于使用“利用现成工具技术(LotL)”部署Rootkit。黑客利用合法系统工具(例如syssetup.dll)而非易检测的恶意软件实现攻击。
Moriya被设计用于检查传入的TCP数据包是否包含恶意载荷,并将Shellcode注入新创建的svchost.exe进程。KRNRAT则整合了五个开源项目功能,可操控进程、隐藏文件、执行Shellcode、隐藏流量,并与命令控制(C2)服务器通信。
与Moriya类似,KRNRAT会加载用户模式代理(Rootkit)并将其注入svchost.exe。该代理作为后门从C2服务器获取后续攻击载荷。
研究人员指出:“在数据外泄前,加载器TESDAT通过执行多个命令收集特定扩展名的文档(如.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx),将其放入新建的‘tmp’文件夹,并使用指定密码通过WinRAR压缩。”
专用工具SIMPOBOXSPY可将压缩文件通过访问令牌上传至Dropbox。卡巴斯基2023年10月报告称,此类通用Dropbox上传器“可能并非ToddyCat专用”。
另一工具ODRIZ通过指定OneDrive刷新令牌作为输入参数,将数据上传至OneDrive。
趋势科技强调:“Earth Kurma仍高度活跃,持续针对东南亚国家。其具备适应受害者环境的能力,并能保持隐蔽存在。他们可复用历史攻击活动的代码库定制工具,甚至利用受害者基础设施达成目标。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
