СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.04.2025
#Dev#ИБ#Инфра#Облака

Группа APT Earth Kurma: угроза кибершпионажа в Юго-Восточной Азии

Группа APT Earth Kurma: угроза кибершпионажа в Юго-Восточной Азии

Источник: www.trendmicro.com

Группа APT, известная как Earth Kurma, активно занимается кибершпионажем против правительственных и телекоммуникационных структур в Юго-Восточной Азии. В частности, их внимание сосредоточено на Филиппинах, Вьетнаме, Таиланде и Малайзии. Операции этой группы, начавшиеся с ноября 2020 года, включают в себя сложные тактики, которые используют передовые пользовательские вредоносные программы, руткиты и облачные сервисы для утечки данных.

Основные техники и инструменты Earth Kurma

Earth Kurma применяет адаптивное вредоносное ПО и различные инструменты с комплексными методами обхода, что создает значительный риск для безопасности затронутых организаций. Вредоносное ПО и инструменты, используемые группой, включают:

  • TESDAT – загрузчик, который выполняет полезную нагрузку, используя нетрадиционные вызовы API, такие как «SwitchToFiber».
  • SIMPOBOXSPY – отправляет данные в облачные сервисы, такие как Dropbox.
  • ODRIZ – загружает файлы в OneDrive.
  • KRNRAT – руткит, действующий как универсальный бэкдор для C & C-коммуникаций.
  • MORIYA – перехватчик TCP-трафика, скрывающий полезную нагрузку в законных TCP-коммуникациях.

Методы и стратегии кибершпионажа

Группа использует разнообразные методы для перемещения по скомпрометированным сетям и достижения своих целей. К ним относятся:

  • Сканирование уязвимостей с помощью инструментов, таких как NBTSCAN, WMIHACKER и ICMPinger.
  • Сбор учетных данных через кейлоггеры, такие как KMLOG.
  • Использование загрузчиков для обеспечения постоянного доступа к системам.

Стратегия Earth Kurma также включает в себя обширный сбор данных, архивирование конфиденциальных документов и систематическую их эксфильтрацию через установленные облачные сервисы, используя преимущества ранее законной инфраструктуры для уклонения от обнаружения.

Независимость и эволюция

Несмотря на наличие схожести в инструментах и тактиках с другими группами APT, такими как ToddyCat и Operation TunnelSnake, различные схемы атак и отсутствие убедительной атрибуции позволяют предположить, что Earth Kurma действует независимо. Их способность адаптировать методы и повторно использовать части существующих кодовых баз говорит о высоком уровне квалификации хакеров, способных постоянно совершенствоваться в ответ на усилия по обнаружению.

Рекомендации для организаций

Чтобы снизить риски, организациям рекомендуется:

  • Применять надежные политики установки драйверов.
  • Защищать среды Active Directory.
  • Ограничивать использование протокола SMB для предотвращения боковых перемещений и несанкционированной передачи данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: