Earth Kurma APT组织正持续针对东南亚政府及电信机构发动攻击

admin 2025年4月29日12:23:48评论20 views字数 1253阅读4分10秒阅读模式
Earth Kurma APT组织正持续针对东南亚政府及电信机构发动攻击

趋势科技最新研究报告揭露,名为"Earth Kurma"的高级持续性威胁组织(APT)正针对东南亚多国展开网络攻击。该组织使用定制化恶意软件、Rootkit工具及云存储服务实施间谍活动、凭证窃取和数据外泄,其先进的规避技术对关键基础设施构成重大商业风险。

攻击概况

  • 重点目标:菲律宾、越南、泰国及马来西亚

  • 高危数据:政府敏感信息及电信核心数据

  • 潜伏周期:研究人员推测攻击者已长期潜伏目标网络而未被发现

趋势科技在报告中指出:"自2024年6月起,我们发现针对东南亚多国(含菲律宾、越南和马来西亚)的复杂APT攻击活动。经分析确认,攻击者主要针对政府部门,尤其关注数据外泄。值得注意的是,本轮攻击使用Rootkit维持持久化访问并隐藏恶意活动。"

组织背景研究显示,Earth Kurma疑似为自2020年起活跃的新型APT组织,具有以下特征:

  1. 攻击工具:使用TESDAT、SIMPOBOXSPY等定制恶意软件及KRNRAT、MORIYA等Rootkit

  2. 数据窃取:通过Dropbox等云服务实施数据外泄

  3. 溯源关联:存在部分攻击特征重叠,但尚未明确归属

攻击链与恶意软件图谱(此处应插入技术分析图表,包含以下要素)

  • 初始入侵向量(如钓鱼邮件、漏洞利用)

  • 持久化机制(Rootkit部署)

  • 横向移动工具

  • 数据外泄路径(云存储C2)

Earth Kurma APT组织正持续针对东南亚政府及电信机构发动攻击

该APT组织在横向移动阶段展现出高度专业化的战术组合:

  1. 网络探测工具

    • 使用NBTSCAN进行内网扫描

    • 通过ICMPinger实施ICMP隐蔽探测

  2. 横向渗透工具

    • 采用Ladon进行自动化渗透测试

    • 使用WMIHACKER执行WMI远程命令

    • 部署FRPC建立反向代理通道

  3. 数据窃取工具

    • 定制键盘记录器KMLOG将日志伪装成ZIP文件

    • 通过SMB协议进行隐蔽传输

持久化攻击技术栈

  • 内存加载器
    DUNLOADER、TESDAT和DMLOADER实现无文件攻击,直接内存加载Cobalt Strike信标(2022-2024年期间主要攻击手法)

  • 云渗透技术
    巧妙利用Dropbox和OneDrive进行数据外泄

  • Rootkit隐身术
    KRNRAT和MORIYA两大Rootkit实现:
    ✓ 通过内存注入隐藏恶意进程
    ✓ 劫持合法进程syssetup.dll加载Rootkit
    ✓ 建立伪装云通信通道

APT组织溯源发现
趋势科技报告指出关键发现:
"Earth Kurma的工具集与已知APT组织存在多重交集:
• MORIYA Rootkit与Operation TunnelSnake行动代码同源
• SIMPOBOXSPY窃密工具与ToddyCat组织高度关联
但由于攻击模式存在显著差异,暂无法确认归属同一威胁主体,故将其定义为新型APT组织"

当前威胁态势
报告最后警告:
"Earth Kurma仍持续活跃在东南亚地区,展现出:
◼ 环境自适应能力 - 可快速调整攻击策略适应目标网络
◼ 代码复用能力 - 基于历史攻击代码快速定制新工具
◼ 基础设施寄生能力 - 直接利用受害者设备建立攻击跳板"

原文始发于微信公众号(黑猫安全):Earth Kurma APT组织正持续针对东南亚政府及电信机构发动攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月29日12:23:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Earth Kurma APT组织正持续针对东南亚政府及电信机构发动攻击https://cn-sec.com/archives/4014795.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息