趋势科技最新研究报告揭露,名为"Earth Kurma"的高级持续性威胁组织(APT)正针对东南亚多国展开网络攻击。该组织使用定制化恶意软件、Rootkit工具及云存储服务实施间谍活动、凭证窃取和数据外泄,其先进的规避技术对关键基础设施构成重大商业风险。
攻击概况
-
重点目标:菲律宾、越南、泰国及马来西亚
-
高危数据:政府敏感信息及电信核心数据
-
潜伏周期:研究人员推测攻击者已长期潜伏目标网络而未被发现
趋势科技在报告中指出:"自2024年6月起,我们发现针对东南亚多国(含菲律宾、越南和马来西亚)的复杂APT攻击活动。经分析确认,攻击者主要针对政府部门,尤其关注数据外泄。值得注意的是,本轮攻击使用Rootkit维持持久化访问并隐藏恶意活动。"
组织背景研究显示,Earth Kurma疑似为自2020年起活跃的新型APT组织,具有以下特征:
-
攻击工具:使用TESDAT、SIMPOBOXSPY等定制恶意软件及KRNRAT、MORIYA等Rootkit
-
数据窃取:通过Dropbox等云服务实施数据外泄
-
溯源关联:存在部分攻击特征重叠,但尚未明确归属
攻击链与恶意软件图谱(此处应插入技术分析图表,包含以下要素)
-
初始入侵向量(如钓鱼邮件、漏洞利用)
-
持久化机制(Rootkit部署)
-
横向移动工具
-
数据外泄路径(云存储C2)
该APT组织在横向移动阶段展现出高度专业化的战术组合:
-
网络探测工具:
-
使用NBTSCAN进行内网扫描
-
通过ICMPinger实施ICMP隐蔽探测
-
横向渗透工具:
-
采用Ladon进行自动化渗透测试
-
使用WMIHACKER执行WMI远程命令
-
部署FRPC建立反向代理通道
-
数据窃取工具:
-
定制键盘记录器KMLOG将日志伪装成ZIP文件
-
通过SMB协议进行隐蔽传输
持久化攻击技术栈
-
内存加载器:
DUNLOADER、TESDAT和DMLOADER实现无文件攻击,直接内存加载Cobalt Strike信标(2022-2024年期间主要攻击手法) -
云渗透技术:
巧妙利用Dropbox和OneDrive进行数据外泄 -
Rootkit隐身术:
KRNRAT和MORIYA两大Rootkit实现:
✓ 通过内存注入隐藏恶意进程
✓ 劫持合法进程syssetup.dll加载Rootkit
✓ 建立伪装云通信通道
APT组织溯源发现
趋势科技报告指出关键发现:
"Earth Kurma的工具集与已知APT组织存在多重交集:
• MORIYA Rootkit与Operation TunnelSnake行动代码同源
• SIMPOBOXSPY窃密工具与ToddyCat组织高度关联
但由于攻击模式存在显著差异,暂无法确认归属同一威胁主体,故将其定义为新型APT组织"
当前威胁态势
报告最后警告:
"Earth Kurma仍持续活跃在东南亚地区,展现出:
◼ 环境自适应能力 - 可快速调整攻击策略适应目标网络
◼ 代码复用能力 - 基于历史攻击代码快速定制新工具
◼ 基础设施寄生能力 - 直接利用受害者设备建立攻击跳板"
原文始发于微信公众号(黑猫安全):Earth Kurma APT组织正持续针对东南亚政府及电信机构发动攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论