Earth Kurma APT活动针对东南亚政府与电信部门

趋势科技研究团队发现了一个复杂的APT活动，针对东南亚的政府与电信部门。该活动被命名为Earth Kurma，攻击者使用高级定制恶意软件、Rootkit以及受信任的云存储服务进行数据外泄。Earth Kurma展示了自适应的恶意软件工具集、战略性的基础设施滥用以及复杂的规避技术。

影响范围

Earth Kurma主要针对东南亚国家，包括菲律宾、越南、泰国和马来西亚。攻击目标表明其动机为网络间谍活动。

感染链与横向移动

攻击者使用多种工具进行横向移动，包括NBTSCAN、LADON、FRPC、WMIHACKER和ICMPinger。他们还部署了自定义键盘记录器KMLOG窃取凭证。

工具使用示例

• ICMPinger：基于ICMP协议的简单网络扫描工具，用于检测主机存活状态。
• Ladon：开源工具，通过反射加载器（PyInstaller编译）绕过检测。
• WMIHACKER：通过端口135执行命令，无需SMB协议。
• KMLOG：记录击键日志并伪装为ZIP文件。

持久化机制

攻击者部署了多种加载器（DUNLOADER、TESDAT、DMLOADER）以维持访问权限，并最终加载Cobalt Strike信标。加载器常被放置在用户常用目录中以混淆视听。

Rootkit部署

攻击者滥用合法二进制文件（如syssetup.dll）和INF文件安装Rootkit：

• MORIYA：作为TCP流量拦截器，检查特定魔法字节并注入恶意负载。
• KRNRAT：功能丰富的后门，基于多个开源项目（如ishellcode、Blackbone、Cronos-Rootkit等），支持多种IOCTL操作。

数据收集与外泄

攻击者使用定制工具（SIMPOBOXSPY、ODRIZ）将文档文件（.pdf、.doc、.xlsx等）压缩并上传至Dropbox或OneDrive。外泄前，文件通过WinRAR加密并复制至AD的sysvol目录，利用DFSR机制自动同步至所有域控制器。

归因分析

Earth Kurma的工具与ToddyCat和Operation TunnelSnake存在重叠，但攻击模式差异阻止了明确归因。因此，该活动被单独命名为Earth Kurma。

安全建议

• 强制执行严格的驱动程序安装策略，仅允许数字签名和明确批准的驱动程序。
• 加强Active Directory和DFSR控制，审计DFSR复制事件。
• 限制SMB通信，防止横向移动和未授权文件传输。

Trend Vision One防护

Trend Vision One可检测并阻止该APT活动中使用的恶意组件。客户还可访问狩猎查询、威胁洞察和威胁情报报告。

狩猎查询示例

1

malName: (*DUNLOADER* OR *TESDAT* OR *DMLOADER* OR *MORIYA* OR *KRNRAT* OR *SIMPOBOXSPY* OR *ODRIZ* OR *KMLOG*) AND eventName: MALWARE_DETECTION

相关资源

• Earth Kurma IoC列表
• Trend Vision One威胁情报报告

标签: APT与定向攻击 | 终端安全 | 研究 | 文章与报告
作者: Nick Dai（高级威胁研究员）, Sunny Lu（威胁分析师）