Earth Kurma APT组织利用高级恶意软件和Rootkit攻击东南亚政府电信部门

趋势科技发现Earth Kurma APT组织针对东南亚政府及电信部门进行网络间谍活动,使用自定义恶意软件、Rootkit技术和云存储服务进行数据渗透,涉及复杂的技术架构和规避手段。

Earth Kurma APT活动针对东南亚政府电信部门

趋势科技研究团队发现了一个复杂的APT活动,针对东南亚的政府和电信部门。该活动被命名为Earth Kurma,攻击者使用高级自定义恶意软件、Rootkit和云存储服务进行数据渗透。Earth Kurma展示了自适应的恶意软件工具集、战略性的基础设施滥用和复杂的规避技术。

摘要

该活动由于针对性的间谍活动、凭证盗窃、通过内核级Rootkit建立的持久立足点以及通过可信云平台进行的数据渗透,构成了较高的业务风险。受影响的组织主要位于东南亚的政府和电信部门,特别是菲律宾、越南、泰国和马来西亚。组织面临敏感政府和电信数据泄露的风险,攻击者可以长时间未被发现地访问其网络。

趋势Vision One™检测并阻止了该APT活动中使用的恶意组件。趋势Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告,以获取关于Earth Kurma的丰富上下文和最新更新。

介绍

自2024年6月以来,我们发现了一个针对东南亚多个国家(包括菲律宾、越南和马来西亚)的复杂APT活动。我们将此活动背后的威胁行为者命名为“Earth Kurma”。分析显示,他们主要针对政府部门,对数据渗透表现出特别的兴趣。值得注意的是,这波攻击涉及使用Rootkit来维持持久性和隐藏其活动。

在本研究中,我们提供了关于Earth Kurma及其持续活动的智能信息。我们将披露技术细节,包括他们的战术、技术和程序(TTPs),以及他们的工具集的具体信息,如TESDAT、SIMPOBOXSPY、KRNRAT和MORIYA等。

Earth Kurma是谁?

Earth Kurma是一个新的APT组织,专注于东南亚国家。所有已识别的受害者都属于政府和政府相关的电信部门。从我们的长期监控来看,他们的活动可以追溯到2020年11月,数据渗透是他们的主要目标。分析表明,他们倾向于通过公共云服务(如Dropbox和OneDrive)渗透数据。为了实现这一目标,他们使用了各种定制工具集,包括TESDAT和SIMPOBOXSPY。Earth Kurma还开发了Rootkit,如KRNRAT和MORIYA,以隐藏他们的活动。

关于归因,我们发现Earth Kurma的工具与其他已知APT组织的工具有重叠。本次活动中的MORIYA Rootkit与Operation TunnelSnake中使用的Rootkit共享相同的代码库,而SIMPOBOXSPY和渗透脚本与另一个名为ToddyCat的APT组织密切相关。然而,攻击模式的差异使我们无法将这些活动和操作 conclusively 归因于相同的威胁行为者。因此,我们将这个新的APT组织命名为“Earth Kurma”。

影响

我们的遥测数据显示,Earth Kurma主要针对东南亚的受害者,包括菲律宾、越南、泰国和马来西亚。Earth Kurma的目标可能表明网络间谍活动是其动机。

感染链

感染链和使用的恶意软件可以总结如下:

[图2:Earth Kurma攻击的完整感染流程]

横向移动

我们无法确认攻击中使用的到达向量,因为我们的分析在受害者首次被入侵多年后才开始。

在横向移动阶段使用了多种工具。各种实用程序被用于扫描受害者的基础设施并部署恶意软件,包括NBTSCAN、LADON、FRPC、WMIHACKER和ICMPinger。他们还部署了一个键盘记录器KMLOG,以窃取受害者的凭证。

为了调查受害者的基础设施,威胁行为者使用了一个名为ICMPinger的工具来扫描主机。这是一个基于ICMP协议的简单网络扫描工具,用于测试指定主机是否仍然存活。他们在操作完成后删除此工具。

他们还使用了另一个开源工具Ladon来检查基础设施。为了绕过检测,Ladon被包装在一个由PyInstaller编译的反射加载器中。用于解码有效载荷的XOR密钥在我们收集的所有样本中各不相同。

为了横向移动,他们还使用了另一个开源工具WMIHACKER,它可以通过端口135执行命令,而无需SMB。

在一些我们观察到的案例中,他们还通过SMB协议(如使用“net use”)执行命令来检查基础设施并部署恶意软件。

威胁行为者还尝试通过使用自定义工具KMLOG窃取受害者的凭证。这是一个简单的键盘记录器,将每次击键记录到名为“%Appdata%\Roaming\Microsoft\Windows\Libraries\infokey.zip”的文件中。

为了隐藏击键日志文件,它被预置了一个假的ZIP文件头(PK头)。头之后是日志内容的真实主体。

持久性

在持久性阶段,行为者部署了不同的加载器来维持其立足点,包括DUNLOADER、TESDAT和DMLOADER。这些加载器用于将有效载荷文件加载到内存中并执行它们。这些加载器然后被用于部署更多恶意软件并通过公共云服务(如Dropbox和OneDrive)渗透数据。在一些案例中,Rootkit,包括KRNRAT和MORIYA,被加载器植入以绕过扫描。

加载器

在2022年至2024年期间,我们观察到在受害者环境中植入了多个加载器,包括DUNLOADER、TESDAT和DMLOADER。大多数最终有效载荷是Cobalt Strike信标。

我们遇到的第一个加载器是DUNLOADER。它能够从以下任一位置加载有效载荷并通过单字节XOR操作进行解码:

  • 来自名为“pdata.txt”的文件
  • 来自其自己的名为“BIN”的资源blob

这个加载器是一个DLL文件,并且总是通过检查父进程的名称是否包含特定的字符串字面量“und”来确保它由“rundll32.exe”执行。在大多数情况下,这个DLL应该包含一个名为“Start”的导出函数。

我们后来发现的较新的加载器称为TESDAT。它总是加载一个带有“.dat”扩展名的有效载荷文件(如“mns.dat”)。它不使用常见的API如CreateThread来执行解码的shellcode,而是总是调用一个名为“SwitchToFiber”的API,我们认为这是为了避免检测。我们的分析显示了TESDAT加载器的两个变体。它可以是一个EXE文件或一个带有名为“Init”的导出函数的DLL文件。

我们还注意到,行为者会用一些随机字符串命名加载器,并将它们放在受害者经常访问的文件夹中,而不是攻击者常用的文件夹(即%ProgramData%或%Public%)。这 presumably 是为了将加载器与合法的用户文件混合。以下是一些文件名示例:

  • C:\Users{user}\downloads\wcrpc.dll
  • C:\Users{user}\downloads\mflpro\acrg.dll
  • C:\Users{user}\documents\ViberDownloads\mfsvc.dll
  • C:\Users{user}\downloads\fwdjustification\dilx.exe
  • C:\Users{user}\downloads\ffap3560pcl6220510w636iml\drasc.dll
  • C:\Users{user}\downloads\1\2\3\prikc.exe
  • C:\Users{user}\Downloads\Rufus\gpupdat.exe

最近,我们观察到一个新的加载器DMLOADER被植入。它不是加载额外的有效载荷文件,而是加载嵌入的有效载荷并将其解码为内存中的PE缓冲区。这个加载器通常有一个名为“DoMain”或“StartProtect”的导出函数。在解码的PE有效载荷中,它应该有一个名为“MThread”的导出函数。

Rootkit

在加载器被植入受害者机器后,我们发现一些受感染的机器上安装了Rootkit。为了安装Rootkit,威胁行为者滥用了一个名为“syssetup.dll”的Living-off-the-Land二进制文件,并放置了一个INF文件来安装它们。使用的命令行示例如下:

C:\Windows\SysWOW64\rundll32.exe syssetup,SetupInfObjectInstallAction DefaultInstall 128 c:\users{user}\downloads\SmartFilter.inf

我们观察到的第一个Rootkit称为MORIYA,它可以隐藏TCP流量中的恶意有效载荷。

MORIYA作为TCP流量拦截器工作。它尝试通过检查前六个魔术字节来监控传入的TCP数据包是否来自命令和控制(C&C)服务器。魔术字节可以通过从其用户模式代理发出特定的IOCTL代码0x222004来注册。如果任何数据包匹配,它尝试将恶意有效载荷注入响应数据包的主体中。我们发现的变体与这份MORIYA报告中的变体完全相同。

我们发现的MORIYA变体具有额外的shellcode注入能力。在其执行的最后,它尝试从位置“\SystemRoot\system32\drivers\{driver_name}.dat”加载一个有效载荷文件。有效载荷将通过AES解密并注入到svchost.exe的进程中。这个有效载荷应该是其用户模式代理。

shellcode最终将通过使用API NtCreateThreadEx调用。为了绕过检测,它尝试通过直接使用系统调用号来调用调用。为了在目标系统上获取有效的系统调用号,它枚举NTDLL的导出函数,找到名称以“Zw”或“Nt”开头的函数,并保存每个的系统调用号。这段代码片段是从这篇文章中重用的。

我们发现的另一个Rootkit称为KRNRAT。它是一个功能齐全的后门,具有各种能力,包括进程操作、文件隐藏、shellcode执行、流量隐藏和C&C通信。我们将这个Rootkit命名为KRNRAT,因为它的内部名称,正如其PDB字符串中所写:N:\project\li\ThreeTools\KrnRat\code\x64\Debug\SmartFilter.pdb

我们的分析显示,KRNRAT基于多个开源项目:

KRNRAT支持众多的IOCTL代码和能力。其调试字符串也是自解释的。以下是支持的IOCTL代码的完整表格。

在其执行的最后,它还加载额外的有效载荷文件并将其注入到svchost.exe进程中。这个shellcode注入能力与我们发现的MORIYA变体完全相同。这次,我们能够收集到有效载荷,结果发现是KRNRAT的用户模式代理,并且是后门。这意味着其用户模式代理始终是内存驻留的。

后门是一个stager。它连接到C&C服务器并下载下一阶段的有效载荷回来。它尝试通过向KRNRAT Rootkit发出特定的IOCTL代码来隐藏进程和连接。

来自C&C服务器的最终有效载荷将是所谓的SManager。

收集和渗透

在收集和渗透阶段,我们观察到两个定制工具用于将特定文档渗透到攻击者的云服务,如Dropbox和OneDrive。在渗透文件之前,由加载器TESDAT执行的几个命令收集了具有以下扩展名的特定文档文件:.pdf、.doc、.docx、.xls、.xlsx、.ppt和.pptx。文档首先被放置到一个新创建的名为“tmp”的文件夹中,然后使用WinRAR和特定密码进行归档。

第一个工具SIMPOBOXSPY是一个渗透工具,可以使用指定的访问令牌将归档文件上传到Dropbox。这个工具正是这份ToddyCat报告中提到的“通用DropBox上传器”。SIMPOBOXSPY的命令参数如下所示。

如果未指定参数“-f”,它将上传当前文件夹中具有预定义扩展名(如“.z”、“.001”、“.002”,…,”.128”)的文件。还有另一个变体,它将上传扩展名为“.7z”的归档文件。

将文件上传到Dropbox后,将在Dropbox上创建一个以当前日期和时间命名的文件夹。

另一个工具ODRIZ是2023年发现的一个旧工具。它将通过指定OneDrive刷新令牌将收集的文件上传到OneDrive。命令参数如下所示。它将上传当前文件夹中模式为“.z.”的文件。

文件收集和渗透的过程如下所示:

[图16:渗透流程]

将所有文件收集到一个密码保护的归档文件中(通常以主机名命名)后,归档的RAR将通过SMB协议复制到文件夹\DC_server\sysvol{domain}\Policies{ID}\user\。文件夹“sysvol”包含所有AD策略和信息,并且这个文件夹只存在于DC服务器上。我们认为攻击者将所有收集的归档文件移动到文件夹“sysvol”中,以利用一个名为分布式文件系统复制(DFSR)的本地Windows机制。这是一个Windows功能,通过在所有DC服务器之间复制“sysvol”文件夹的内容来同步AD策略。通过这种方式,被盗的归档文件可以自动同步到所有DC服务器,从而通过其中任何一个进行渗透。

归因

我们的分析确定了与两个组织ToddyCat和Operation TunnelSnake的弱链接。经过彻底检查,我们确定这个活动值得一个单独的指定,Earth Kurma。

APT组织ToddyCat于2022年首次披露。这份ToddyCat报告中提到的“定制加载器”也在被TESDAT加载器感染的同一受害者机器中发现。然而,我们没有发现这些加载器之间的任何进程执行日志。此外,它们共享类似的渗透PowerShell脚本。Earth Kurma使用的工具SIMPOBOXSPY以前也被ToddyCat使用过。

Earth Kurma和ToddyCat都高度针对东南亚国家。关于ToddyCat的报告表明,活动始于2020年。他们的活动时间线与我们在Earth Kurma中观察到的紧密对齐。

然而,SIMPOBOXSPY是一个可以在组织之间共享的简单工具,并且我们没有观察到其他可以直接归因于ToddyCat的独家工具。因此,我们无法 conclusively 将Earth Kurma与ToddyCat联系起来。

第二个可能相关的APT组织是Operation TunnelSnake,也在2021年被报告。在报告中,他们使用了MORIYA,它使用与我们发现的MORIYA变体相同的代码库。此外,Operation TunnelSnake针对东南亚国家。尽管如此,我们没有观察到后期利用阶段的任何相似性。

安全最佳实践

Earth Kurma仍然高度活跃,继续针对东南亚国家。他们有能力适应受害者环境并保持隐秘存在。他们还可以重用先前已识别活动中的相同代码库来自定义他们的工具集,有时甚至利用受害者的基础设施来实现他们的目标。

以下是一些缓解此类威胁的最佳安全实践:

  • 强制执行严格的驱动程序安装策略。通过组策略或应用程序控制解决方案,只允许数字签名和明确批准的驱动程序,以防止恶意Rootkit。
  • 加强Active Directory(AD)和DFSR控制。保护AD的sysvol目录,并密切审核DFSR复制事件,以防止滥用进行隐秘数据渗透。
  • 限制SMB通信。限制网络上SMB协议的使用,以防止横向移动和未经授权的文件传输。

趋势Vision One™的主动安全

趋势Vision One™是唯一一个由AI驱动的企业网络安全平台,集中了网络风险暴露管理、安全操作和强大的分层保护。这种全面方法帮助您预测和预防威胁,加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和趋势Cybertron(行业首个主动网络安全AI),它提供了经过验证的结果:勒索软件风险降低92%,检测时间减少99%。安全领导者可以基准化他们的态势,并向利益相关者展示持续改进。借助趋势Vision One,您能够消除安全盲点,专注于最重要的事情,并将安全提升为创新的战略伙伴。

趋势Vision One威胁情报

为了领先于不断演变的威胁,趋势Vision One客户可以访问一系列情报报告和威胁洞察。威胁洞察帮助客户在 cyber 威胁发生之前保持领先,并通过提供关于威胁行为者、其恶意活动及其技术的全面信息,让他们为新兴威胁做好准备。通过利用这种智能,客户可以采取主动步骤保护他们的环境,减轻风险,并有效响应威胁。

趋势Vision One智能报告应用[IOC扫描]

Earth Kurma揭露:对东南亚政府的网络威胁

趋势Vision One威胁洞察应用

威胁行为者:Earth Kurma 新兴威胁:Earth Kurma揭露:对东南亚政府的网络威胁

狩猎查询

趋势Vision One搜索应用 趋势Vision One客户可以使用搜索应用来匹配或狩猎本博客文章中提到的恶意指标与其环境中的数据。

扫描Earth Kurma恶意软件检测: malName: (DUNLOADER OR TESDAT OR DMLOADER OR MORIYA OR KRNRAT OR SIMPOBOXSPY OR ODRIZ OR KMLOG) AND eventName: MALWARE_DETECTION

妥协指标(IoC)

此条目的妥协指标可以在这里找到。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次