Οι hackers Earth Kurma στοχεύουν τη Νοτιοανατολική Ασία
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers Earth Kurma στοχεύουν τη Νοτιοανατολική Ασία
https://www.secnews.gr/646916/hackers-earth-kurma-stoxeuoun-notioanatoliki-asia/
Apr 28th 2025, 15:03
by Digital Fortress
Κυβερνητικοί οργανισμοί και φορείς τηλεπικοινωνιών στη Νοτιοανατολική Ασία έχουν βρεθεί στο στόχαστρο μιας νέας, «πολύπλοκης» κυβερνοεκστρατείας, που αποδίδεται σε μια καινούρια ομάδα προηγμένων απειλών (APT) με την ονομασία Earth Kurma. Οι επιθέσεις φέρεται να έχουν ξεκινήσει από τον Ιούνιο του 2024.
Σύμφωνα με την Trend Micro, οι επιθέσεις αυτής της ομάδας χρησιμοποιούν ειδικά κατασκευασμένο κακόβουλο λογισμικό, rootkits και υπηρεσίες cloud για την αποστολή και αποθήκευση κλεμμένων δεδομένων. Ανάμεσα στους στόχους βρίσκονται οι Φιλιππίνες, το Βιετνάμ, η Ταϊλάνδη και η Μαλαισία.
«Η καμπάνια αυτή ενέχει σοβαρούς επιχειρηματικούς κινδύνους, καθώς επικεντρώνεται σε στοχευμένη κατασκοπεία, υποκλοπή διαπιστευτηρίων, διατήρηση της πρόσβασης μέσω rootkits στον πυρήνα του συστήματος και εξαγωγή δεδομένων μέσω αξιόπιστων cloud υπηρεσιών», τόνισαν οι ειδικοί ασφαλείας Nick Dai και Sunny Lu σε σχετική ανάλυση που δημοσιεύτηκε πρόσφατα.
Η ομάδα Earth Kurma δραστηριοποιείται από τον Νοέμβριο του 2020, με τη συλλογή ευαίσθητων πληροφοριών να πραγματοποιείται κυρίως μέσω πλατφορμών όπως το Dropbox και το Microsoft OneDrive, χρησιμοποιώντας εργαλεία όπως τα TESDAT και SIMPOBOXSPY.
Δείτε επίσης: Το νέο DslogdRAT malware διανέμεται μέσω ευπάθειας στο Ivanti Connect Secure
Στο «οπλοστάσιο» της ομάδας καταγράφονται επίσης δύο ιδιαίτερα επικίνδυνες οικογένειες κακόβουλου λογισμικού: τα rootkits KRNRAT και Moriya — το τελευταίο έχει συνδεθεί στο παρελθόν με κατασκοπευτικές επιθέσεις σε οργανισμούς υψηλού προφίλ σε Ασία και Αφρική, στο πλαίσιο της καμπάνιας TunnelSnake.
Μέχρι στιγμής δεν είναι σαφές με ποιον ακριβώς τρόπο οι κυβερνοεγκληματίες αποκτούν την αρχική τους πρόσβαση στα δίκτυα των στόχων. Αφού, όμως, γίνει η πρόσβαση, οι hackers εξαπλώνονται, χρησιμοποιώντας εργαλεία όπως τα NBTSCAN, Ladon, FRPC, WMIHACKER και ICMPinger. Επιπλέον, έχουν χρησιμοποιήσει ένα keylogger, γνωστό ως KMLOG, για την υποκλοπή διαπιστευτηρίων.
Για να διατηρούν την παρουσία τους στα μολυσμένα συστήματα, οι επιτιθέμενοι χρησιμοποιούν τρεις τύπους προγραμμάτων φόρτωσης κακόβουλου λογισμικού: DUNLOADER, TESDAT και DMLOADER. Αυτά τα προγράμματα μπορούν να φορτώσουν στη μνήμη και να εκτελέσουν άλλα payloads, όπως Cobalt Strike Beacons, τα rootkits KRNRAT και Moriya, καθώς και κακόβουλο λογισμικό συλλογής και εξαγωγής δεδομένων.
Ένα ιδιαίτερο χαρακτηριστικό των επιθέσεων των hackers Earth Kurma είναι η εκτεταμένη χρήση τεχνικών live-off-the-land (LotL), δηλαδή η αξιοποίηση νόμιμων εργαλείων και λειτουργιών του λειτουργικού συστήματος για την ανάπτυξη κακόβουλων προγραμμάτων, ελαχιστοποιώντας έτσι τις πιθανότητες εντοπισμού. Σε αυτή την περίπτωση, χρησιμοποιούν το syssetup.dll αντί να μεταφορτώνουν εμφανώς κακόβουλα αρχεία.
Δείτε επίσης: Οι hackers Lotus Panda στόχευσαν ασιατικούς οργανισμούς με malware
Το Moriya, που αναφέραμε προηγουμένως, έχει σχεδιαστεί για να εξετάζει τα εισερχόμενα πακέτα TCP, αναζητώντας κακόβουλα payloads και εισάγοντας κώδικα σε νέες διεργασίες svchost.exe. Από την άλλη, το KRNRAT αποτελεί μια σύνθεση πέντε open-source projects και προσφέρει δυνατότητες όπως διαχείριση διεργασιών, απόκρυψη αρχείων, εκτέλεση shellcode και επικοινωνία με απομακρυσμένους διακομιστές εντολών και ελέγχου (C2).
Παρόμοια με το Moriya, το KRNRAT έχει την ικανότητα να φορτώνει ένα user-mode agent ως rootkit, το οποίο εισάγει επίσης σε μια διεργασία svchost.exe. Το user-mode agent χρησιμεύει ως backdoor για την ανάκτηση ενός επόμενου payload από τον διακομιστή C2.
Προτού ξεκινήσει η εξαγωγή δεδομένων, το πρόγραμμα φόρτωσης TESDAT εκτελούσε πολλές εντολές για τη συλλογή συγκεκριμένων τύπων εγγράφων με καταλήξεις όπως .pdf, .doc, .docx, .xls, .xlsx, .ppt και .pptx, όπως εξήγησαν οι ερευνητές. Τα αρχεία αυτά συγκεντρώνονταν αρχικά σε έναν προσωρινό φάκελο με την ονομασία "tmp" και στη συνέχεια συμπιέζονταν σε αρχείο RAR μέσω του WinRAR, χρησιμοποιώντας έναν προκαθορισμένο κωδικό πρόσβασης.
Για τη μεταφορά αυτών των συμπιεσμένων αρχείων, χρησιμοποιήθηκε μεταξύ άλλων το ειδικό εργαλείο SIMPOBOXSPY, το οποίο μπορεί να ανεβάζει τα αρχεία RAR σε λογαριασμό Dropbox αξιοποιώντας συγκεκριμένο access token.
Ένα ακόμη εργαλείο που εντοπίστηκε, το ODRIZ, έχει σχεδιαστεί για να αποστέλλει κλεμμένα δεδομένα στο OneDrive, χρησιμοποιώντας ένα OneDrive refresh token ως παράμετρο για την είσοδο.
Δείτε επίσης: Νέο XorDDoS malware επιτρέπει δημιουργία DDoS botnet
Η Trend Micro σημείωσε ότι οι hackers Earth Kurma παραμένουν ιδιαίτερα ενεργοί, συνεχίζοντας να στοχεύουν χώρες της Νοτιοανατολικής Ασίας. Η ομάδα έχει αποδείξει την ικανότητά της να προσαρμόζεται στα περιβάλλοντα των θυμάτων και να διατηρεί χαμηλό προφίλ. Επιπλέον, οι επιτιθέμενοι δείχνουν την ικανότητα να ανακυκλώνουν παλαιότερο κώδικα από προηγούμενες επιχειρήσεις, τροποποιώντας τα εργαλεία τους ανάλογα με τις ανάγκες και, σε ορισμένες περιπτώσεις, αξιοποιώντας την ίδια την υποδομή των θυμάτων για να προωθήσουν τους στόχους τους.
Προστασία από malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι οι υπάλληλοι πρέπει να μάθουν να αναγνωρίζουν και να αποφεύγουν τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.
Επίσης, είναι σημαντικό να διατηρείται το λειτουργικό σύστημα και οι εφαρμογές ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή από τις πιο πρόσφατες απειλές.
Επίσης, μην ξεχνάμε τη χρήση firewalls και την παρακολούθηση του network traffic που θα βοηθήσει στον άμεσο εντοπισμό ύποπτης δραστηριότητας. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers Earth Kurma στοχεύουν τη Νοτιοανατολική Ασία
https://www.secnews.gr/646916/hackers-earth-kurma-stoxeuoun-notioanatoliki-asia/
Apr 28th 2025, 15:03
by Digital Fortress
Κυβερνητικοί οργανισμοί και φορείς τηλεπικοινωνιών στη Νοτιοανατολική Ασία έχουν βρεθεί στο στόχαστρο μιας νέας, «πολύπλοκης» κυβερνοεκστρατείας, που αποδίδεται σε μια καινούρια ομάδα προηγμένων απειλών (APT) με την ονομασία Earth Kurma. Οι επιθέσεις φέρεται να έχουν ξεκινήσει από τον Ιούνιο του 2024.
Σύμφωνα με την Trend Micro, οι επιθέσεις αυτής της ομάδας χρησιμοποιούν ειδικά κατασκευασμένο κακόβουλο λογισμικό, rootkits και υπηρεσίες cloud για την αποστολή και αποθήκευση κλεμμένων δεδομένων. Ανάμεσα στους στόχους βρίσκονται οι Φιλιππίνες, το Βιετνάμ, η Ταϊλάνδη και η Μαλαισία.
«Η καμπάνια αυτή ενέχει σοβαρούς επιχειρηματικούς κινδύνους, καθώς επικεντρώνεται σε στοχευμένη κατασκοπεία, υποκλοπή διαπιστευτηρίων, διατήρηση της πρόσβασης μέσω rootkits στον πυρήνα του συστήματος και εξαγωγή δεδομένων μέσω αξιόπιστων cloud υπηρεσιών», τόνισαν οι ειδικοί ασφαλείας Nick Dai και Sunny Lu σε σχετική ανάλυση που δημοσιεύτηκε πρόσφατα.
Η ομάδα Earth Kurma δραστηριοποιείται από τον Νοέμβριο του 2020, με τη συλλογή ευαίσθητων πληροφοριών να πραγματοποιείται κυρίως μέσω πλατφορμών όπως το Dropbox και το Microsoft OneDrive, χρησιμοποιώντας εργαλεία όπως τα TESDAT και SIMPOBOXSPY.
Δείτε επίσης: Το νέο DslogdRAT malware διανέμεται μέσω ευπάθειας στο Ivanti Connect Secure
Στο «οπλοστάσιο» της ομάδας καταγράφονται επίσης δύο ιδιαίτερα επικίνδυνες οικογένειες κακόβουλου λογισμικού: τα rootkits KRNRAT και Moriya — το τελευταίο έχει συνδεθεί στο παρελθόν με κατασκοπευτικές επιθέσεις σε οργανισμούς υψηλού προφίλ σε Ασία και Αφρική, στο πλαίσιο της καμπάνιας TunnelSnake.
Μέχρι στιγμής δεν είναι σαφές με ποιον ακριβώς τρόπο οι κυβερνοεγκληματίες αποκτούν την αρχική τους πρόσβαση στα δίκτυα των στόχων. Αφού, όμως, γίνει η πρόσβαση, οι hackers εξαπλώνονται, χρησιμοποιώντας εργαλεία όπως τα NBTSCAN, Ladon, FRPC, WMIHACKER και ICMPinger. Επιπλέον, έχουν χρησιμοποιήσει ένα keylogger, γνωστό ως KMLOG, για την υποκλοπή διαπιστευτηρίων.
Για να διατηρούν την παρουσία τους στα μολυσμένα συστήματα, οι επιτιθέμενοι χρησιμοποιούν τρεις τύπους προγραμμάτων φόρτωσης κακόβουλου λογισμικού: DUNLOADER, TESDAT και DMLOADER. Αυτά τα προγράμματα μπορούν να φορτώσουν στη μνήμη και να εκτελέσουν άλλα payloads, όπως Cobalt Strike Beacons, τα rootkits KRNRAT και Moriya, καθώς και κακόβουλο λογισμικό συλλογής και εξαγωγής δεδομένων.
Ένα ιδιαίτερο χαρακτηριστικό των επιθέσεων των hackers Earth Kurma είναι η εκτεταμένη χρήση τεχνικών live-off-the-land (LotL), δηλαδή η αξιοποίηση νόμιμων εργαλείων και λειτουργιών του λειτουργικού συστήματος για την ανάπτυξη κακόβουλων προγραμμάτων, ελαχιστοποιώντας έτσι τις πιθανότητες εντοπισμού. Σε αυτή την περίπτωση, χρησιμοποιούν το syssetup.dll αντί να μεταφορτώνουν εμφανώς κακόβουλα αρχεία.
Δείτε επίσης: Οι hackers Lotus Panda στόχευσαν ασιατικούς οργανισμούς με malware
Το Moriya, που αναφέραμε προηγουμένως, έχει σχεδιαστεί για να εξετάζει τα εισερχόμενα πακέτα TCP, αναζητώντας κακόβουλα payloads και εισάγοντας κώδικα σε νέες διεργασίες svchost.exe. Από την άλλη, το KRNRAT αποτελεί μια σύνθεση πέντε open-source projects και προσφέρει δυνατότητες όπως διαχείριση διεργασιών, απόκρυψη αρχείων, εκτέλεση shellcode και επικοινωνία με απομακρυσμένους διακομιστές εντολών και ελέγχου (C2).
Παρόμοια με το Moriya, το KRNRAT έχει την ικανότητα να φορτώνει ένα user-mode agent ως rootkit, το οποίο εισάγει επίσης σε μια διεργασία svchost.exe. Το user-mode agent χρησιμεύει ως backdoor για την ανάκτηση ενός επόμενου payload από τον διακομιστή C2.
Προτού ξεκινήσει η εξαγωγή δεδομένων, το πρόγραμμα φόρτωσης TESDAT εκτελούσε πολλές εντολές για τη συλλογή συγκεκριμένων τύπων εγγράφων με καταλήξεις όπως .pdf, .doc, .docx, .xls, .xlsx, .ppt και .pptx, όπως εξήγησαν οι ερευνητές. Τα αρχεία αυτά συγκεντρώνονταν αρχικά σε έναν προσωρινό φάκελο με την ονομασία "tmp" και στη συνέχεια συμπιέζονταν σε αρχείο RAR μέσω του WinRAR, χρησιμοποιώντας έναν προκαθορισμένο κωδικό πρόσβασης.
Για τη μεταφορά αυτών των συμπιεσμένων αρχείων, χρησιμοποιήθηκε μεταξύ άλλων το ειδικό εργαλείο SIMPOBOXSPY, το οποίο μπορεί να ανεβάζει τα αρχεία RAR σε λογαριασμό Dropbox αξιοποιώντας συγκεκριμένο access token.
Ένα ακόμη εργαλείο που εντοπίστηκε, το ODRIZ, έχει σχεδιαστεί για να αποστέλλει κλεμμένα δεδομένα στο OneDrive, χρησιμοποιώντας ένα OneDrive refresh token ως παράμετρο για την είσοδο.
Δείτε επίσης: Νέο XorDDoS malware επιτρέπει δημιουργία DDoS botnet
Η Trend Micro σημείωσε ότι οι hackers Earth Kurma παραμένουν ιδιαίτερα ενεργοί, συνεχίζοντας να στοχεύουν χώρες της Νοτιοανατολικής Ασίας. Η ομάδα έχει αποδείξει την ικανότητά της να προσαρμόζεται στα περιβάλλοντα των θυμάτων και να διατηρεί χαμηλό προφίλ. Επιπλέον, οι επιτιθέμενοι δείχνουν την ικανότητα να ανακυκλώνουν παλαιότερο κώδικα από προηγούμενες επιχειρήσεις, τροποποιώντας τα εργαλεία τους ανάλογα με τις ανάγκες και, σε ορισμένες περιπτώσεις, αξιοποιώντας την ίδια την υποδομή των θυμάτων για να προωθήσουν τους στόχους τους.
Προστασία από malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι οι υπάλληλοι πρέπει να μάθουν να αναγνωρίζουν και να αποφεύγουν τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.
Επίσης, είναι σημαντικό να διατηρείται το λειτουργικό σύστημα και οι εφαρμογές ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή από τις πιο πρόσφατες απειλές.
Επίσης, μην ξεχνάμε τη χρήση firewalls και την παρακολούθηση του network traffic που θα βοηθήσει στον άμεσο εντοπισμό ύποπτης δραστηριότητας. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια