Os setores governamentais e de telecomunicações no Sudeste Asiático tornaram-se o alvo de uma campanha "sofisticada" realizada por um novo grupo de ameaça persistente avançada (APT) chamado Earth Kurma desde junho de 2024.
Os ataques, conforme a Trend Micro, utilizaram malware personalizado, rootkits e serviços de armazenamento em nuvem para a exfiltração de dados.
As Filipinas, Vietnã, Tailândia e Malásia estão entre os alvos proeminentes.
"Esta campanha representa um alto risco empresarial devido ao espionagem direcionada, roubo de credenciais, estabelecimento de presença persistente por meio de rootkits de nível kernel e exfiltração de dados via plataformas de nuvem confiáveis," os pesquisadores de segurança Nick Dai e Sunny Lu disseram em uma análise publicada na última semana.
As atividades do ator de ameaça datam de novembro de 2020, com as intrusões dependendo principalmente de serviços como Dropbox e Microsoft OneDrive para sifonar dados sensíveis usando ferramentas como TESDAT e SIMPOBOXSPY.
Duas outras famílias de malware notáveis em seu arsenal incluem rootkits como KRNRAT e Moriya, este último que já foi observado anteriormente em ataques direcionados a organizações de alto perfil na Ásia e África como parte de uma campanha de espionagem chamada TunnelSnake.
A Trend Micro também disse que o SIMPOBOXSPY e o script de exfiltração usado nos ataques compartilham semelhanças com outro grupo APT codinome ToddyCat.
No entanto, uma atribuição definitiva permanece inconclusiva.
Atualmente, não se sabe como os atores de ameaça ganham acesso inicial aos ambientes alvo.
A invasão inicial é então abusada para escanear e realizar movimento lateral usando uma variedade de ferramentas como NBTSCAN, Ladon, FRPC, WMIHACKER e ICMPinger.
Também é implantado um keylogger referido como KMLOG para colher credenciais.
É digno de nota que o uso da estrutura Ladon de código aberto foi previamente atribuída a um grupo de hackers vinculado à China chamado TA428 (também conhecido como Vicious Panda).
A persistência nos hosts é alcançada por três diferentes cepas de loader referidas como DUNLOADER, TESDAT e DMLOADER, que são capazes de carregar payloads de próxima etapa na memória e executá-los.
Consistem em Cobalt Strike Beacons, rootkits como KRNRAT e Moriya, assim como malware de exfiltração de dados.
O que distingue esses ataques é o uso de técnicas living-off-the-land (LotL) para instalar os rootkits, onde hackers empregam ferramentas e recursos legítimos do sistema, neste caso, syssetup.dll, em vez de introduzir malware facilmente detectável.
Enquanto Moriya é projetado para inspecionar pacotes TCP de entrada por um payload malicioso e injetar shellcode em um processo "svchost.exe" recém-criado, KRNRAT é uma combinação de cinco diferentes projetos de código aberto com capacidades como manipulação de processo, ocultação de arquivos, execução de shellcode, ocultação de tráfego e comunicação command-and-control (C2).
KRNRAT, como Moriya, também é projetado para carregar um agente em modo usuário do rootkit e injetá-lo em "svchost.exe".
O agente em modo de usuário serve como um backdoor para recuperar um payload subsequente do servidor C2.
"Antes da exfiltração dos arquivos, vários comandos executados pelo loader TESDAT coletaram documentos específicos com as seguintes extensões: .pdf, .doc, .docx, .xls, .xlsx, .ppt e .pptx," disseram os pesquisadores.
"Os documentos são primeiramente colocados em uma nova pasta criada chamada 'tmp', que é então arquivada usando WinRAR com uma senha específica." Uma das ferramentas personalizadas usadas para a exfiltração de dados é o SIMPOBOXSPY, que pode fazer upload do arquivo RAR para Dropbox com um token de acesso específico.
De acordo com um relatório da Kaspersky de outubro de 2023, o uploader genérico do DropBox "provavelmente não é usado exclusivamente pelo ToddyCat." ODRIZ, outro programa usado para o mesmo propósito, faz upload das informações coletadas para o OneDrive especificando o token de atualização do OneDrive como um parâmetro de entrada.
"Earth Kurma permanece altamente ativo, continuando a mirar países ao redor do Sudeste Asiático," disse a Trend Micro.
Eles têm a capacidade de se adaptar aos ambientes das vítimas e manter uma presença furtiva." "Eles também podem reutilizar a mesma base de código de campanhas anteriormente identificadas para customizar seus conjuntos de ferramentas, às vezes até utilizando a infraestrutura da vítima para alcançar seus objetivos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...