Earth Kurma APT 针对东南亚敏感目标

趋势科技揭露了针对东南亚敏感目标的 Earth Kurma APT 攻击活动。威胁组织使用自定义恶意软件、rootkit 和云存储进行间谍活动、凭证窃取和数据泄露，并采用先进的规避技术，造成高业务风险。

Earth Kurma 特别针对菲律宾、越南、泰国和马来西亚等国家。研究人员推测，这些组织面临着敏感数据泄露的风险，攻击者保持了对其网络的长期且未被发现的访问。

趋势科技发布的报告指出：“自2024年6月以来，我们发现一场针对东南亚多国目标的复杂APT攻击活动。我们将此次攻击活动的幕后黑手命名为‘Earth Kurma’。我们的分析显示，他们主要针对政府部门，尤其关注数据泄露。” 

“值得注意的是，这波攻击使用了rootkit来保持持久性并隐藏其活动。”

专家认为，Earth Kurma 是一个新兴的 APT 组织，自 2020 年以来一直以东南亚政府和电信行业为目标，专注于通过 Dropbox 等云服务窃取数据。该组织使用 TESDAT、SIMPOBOXSPY 等自定义工具以及 KRNRAT、MORIYA 等 rootkit。目前存在归因重叠，但尚无法确认归属。

以下是该组织使用的感染链和恶意软件：

Earth Kurma 使用 NBTSCAN、Ladon、FRPC、WMIHACKER 和 ICMPinger 等工具进行横向移动、网络扫描和恶意软件部署。他们还部署了 KMLOG（一款自定义键盘记录器），将日志伪装成 ZIP 文件保存。

攻击者使用 WMI 和 SMB 命令进行横向移动，并在受害基础设施中保持隐蔽。

在持久化阶段，Earth Kurma 部署了 DUNLOADER、TESDAT 和 DMLOADER 等加载器，在内存中运行有效载荷，并通过 Dropbox 和 OneDrive 窃取数据。攻击者还使用了 KRNRAT 和 MORIYA 等 rootkit 来逃避检测。

报告写道：“在归因方面，我们发现Earth Kurma的工具与其他已知APT组织的工具存在重叠。此次攻击活动中的MORIYA rootkit与 Operation TunnelSnake中使用的rootkit共享相同的代码库，而SIMPOBOXSPY及其泄露脚本则与另一个名为 ToddyCat的APT组织密切相关。”

由于攻击模式的差异，研究人员无法将这些攻击活动和操作归因于同一威胁组织。趋势科技将这个新的APT组织命名为“Earth Kurma”。

2022 年至 2024 年间，Earth Kurma 使用 DUNLOADER、TESDAT 和 DMLOADER 等加载器来投放Cobalt Strike信标。之后，他们部署了 MORIYA 和 KRNRAT rootkit 来保持驻留、隐藏活动，并通过内存注入和伪装的云通信来秘密窃取数据。

攻击者使用名为“syssetup.dll”的二进制文件来安装 rootkit。

技术报告：

https://www.trendmicro.com/en_us/research/25/d/earth-kurma-apt-campaign.html

新闻链接：

https://securityaffairs.com/177125/apt/earth-kurma-apt-is-actively-targeting-government-and-telecommunications-orgs-in-southeast-asia.html