コンテンツにスキップするには Enter キーを押してください

Earth Kurma、ルートキットとクラウドベースのデータ窃盗ツールで東南アジアを標的に

投稿日 2025年5月2日

Image

東南アジアの政府および通信セクターが、Earth Kurmaと呼ばれる新しい高度持続的脅威(APT)グループによる「高度な」キャンペーンの標的となっています。このキャンペーンは2024年6月から始まっています。

トレンドマイクロによると、攻撃はカスタムマルウェア、ルートキット、およびデータ流出のためのクラウドストレージサービスを利用しています。フィリピン、ベトナム、タイ、マレーシアが主な標的です。

「このキャンペーンは、標的型のスパイ活動、資格情報の窃盗、カーネルレベルのルートキットを通じた持続的な足掛かりの確立、信頼されたクラウドプラットフォームを介したデータ流出のため、ビジネスリスクが高いです」とセキュリティ研究者のNick DaiとSunny Luは先週発表された分析で述べています

脅威アクターの活動は2020年11月に遡り、侵入は主にDropboxやMicrosoft OneDriveのようなサービスを利用して、TESDATやSIMPOBOXSPYのようなツールを使って機密データを盗み出しています。

その武器庫には、KRNRATやMoriyaのようなルートキットを含む他の注目すべきマルウェアファミリーもあります。後者は、アジアやアフリカの著名な組織を標的としたスパイ活動キャンペーン「TunnelSnake」の一環として以前に観察されています。

トレンドマイクロはまた、SIMPOBOXSPYと攻撃で使用されたデータ流出スクリプトが、ToddyCatというコードネームの別のAPTグループと重なる部分があると述べています。しかし、決定的な帰属はまだ不明です。

脅威アクターがどのようにしてターゲット環境への初期アクセスを得るかは現在不明です。初期の足掛かりは、NBTSCAN、Ladon、FRPC、WMIHACKER、ICMPingerなどのさまざまなツールを使用してスキャンと横移動を行うために悪用されます。また、KMLOGと呼ばれるキーロガーが展開され、資格情報を収集します。

オープンソースのLadonフレームワークの使用は、以前にTA428(別名Vicious Panda)と呼ばれる中国関連のハッキンググループに帰属されています。

ホスト上での持続性は、DUNLOADER、TESDAT、DMLOADERと呼ばれる3つの異なるローダーストレインによって達成されます。これらは次のステージのペイロードをメモリにロードし、実行することができます。これには、Cobalt Strike Beacons、KRNRATやMoriyaのようなルートキット、データ流出マルウェアが含まれます。

Image

これらの攻撃を特徴づけるのは、ルートキットをインストールするために「Living-off-the-land(LotL)」技術を使用することです。ハッカーは、容易に検出されるマルウェアを導入するのではなく、正当なシステムツールと機能、具体的にはsyssetup.dllを使用します。

Moriyaは、悪意のあるペイロードを持つ着信TCPパケットを検査し、新たに生成された「svchost.exe」プロセスにシェルコードを注入するように設計されています。一方、KRNRATは、プロセス操作、ファイル隠蔽、シェルコード実行、トラフィック隠蔽、コマンドアンドコントロール(C2)通信などの機能を持つ5つの異なるオープンソースプロジェクトの融合です。

KRNRATもMoriyaと同様に、ルートキットをユーザーモードエージェントとしてロードし、「svchost.exe」に注入するように設計されています。ユーザーモードエージェントは、C2サーバーから次のペイロードを取得するためのバックドアとして機能します。

「ファイルを流出させる前に、ローダーTESDATによって実行されたいくつかのコマンドが、.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptxの拡張子を持つ特定のドキュメントファイルを収集しました」と研究者たちは述べています。「これらのドキュメントはまず「tmp」という新しく作成されたフォルダーに配置され、その後特定のパスワードでWinRARを使用してアーカイブされます。」

データ流出に使用される特注のツールの1つはSIMPOBOXSPYで、特定のアクセストークンを使用してRARアーカイブをDropboxにアップロードできます。2023年10月のKasperskyのレポートによると、一般的なDropboxアップローダーは「おそらくToddyCatだけが使用しているわけではない」とされています。

同じ目的で使用される別のプログラムであるODRIZは、OneDriveのリフレッシュトークンを入力パラメータとして指定することで、収集された情報をOneDriveにアップロードします。

「Earth Kurmaは非常に活発で、東南アジア周辺の国々を引き続き標的にしています」とトレンドマイクロは述べています。「彼らは被害者の環境に適応し、ステルス性を維持する能力を持っています。」

「彼らはまた、以前に特定されたキャンペーンから同じコードベースを再利用し、ツールセットをカスタマイズすることができ、時には被害者のインフラを利用して目標を達成することもあります。」

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です