我们自2019年以来一直在追踪名为Earth Kasha的黑客组织,该组织主要使用LODEINFO恶意软件针对日本进行攻击。尽管有供应商怀疑使用LODEINFO的攻击者可能是APT10,但我们没有足够证据完全支持这一猜测。目前,我们将APT10和Earth Kasha视为不同实体,尽管它们可能存在关联。为了避免名称混淆,我们使用新术语“APT10 Umbrella”来代表与APT10相关的一组入侵集(包括APT10本身)。Earth Kasha以针对公共机构和学者的鱼叉式钓鱼邮件而闻名。然而,从2023年初到2024年初,我们识别出一个新的活动,该活动对他们的策略、战术和技术进行了重大更新。在这次活动中,Earth Kasha将目标扩展到日本、台湾和印度,特别是针对先进技术相关组织和政府机构。他们利用公共应用程序中的漏洞,如SSL-VPN和文件存储服务,并部署了多种后门以保持持久性,包括Cobalt Strike、LODEINFO和新发现的NOOPDOOR。我们分析了攻击后期的活动,发现攻击的主要动机是窃取受害者信息和数据。Earth Kasha使用合法的Microsoft工具发现Active Directory配置和域用户信息,然后访问文件服务器并尝试找到与客户网络系统信息相关的文档。他们还使用自定义恶意软件MirrorStealer来转储存储在应用程序中的凭据,并滥用vssadmin复制Active Directory服务器中的注册表项。在大多数情况下,Earth Kasha成功地破坏了域管理员,并在多台机器上部署了后门,以实现横向移动。最后,Earth Kasha开始从受害者机器上收集数据,包括ntds.dit、SYSTEM、SAM注册表项等,并使用makecab命令将这些文件压缩成一个单一的存档文件,可能通过后门通道进行数据泄露。
原文链接:
https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.html
原文始发于微信公众号(狼蛛安全实验室):揭秘Earth Kasha组织LODEINFO新活动与APT10伞下的关联分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论