【安全资讯】Earth Kurma APT活动针对东南亚政府和电信部门

概要：

近期，Trend Research揭示了一项针对东南亚政府和电信部门的复杂APT活动，名为Earth Kurma。攻击者利用先进的定制恶意软件、根套件和云存储服务进行数据外泄，显示出其适应性强的恶意工具集和复杂的规避技术。这一活动对商业构成了高风险，尤其是在国家安全和敏感数据方面。

主要内容：

自2024年6月以来，Earth Kurma针对菲律宾、越南和马来西亚等东南亚国家的政府部门展开攻击，主要目标为数据外泄。攻击者使用根套件保持持久性并隐藏其活动，利用工具如TESDAT、SIMPOBOXSPY和KRNRAT等进行攻击。通过公共云服务如Dropbox和OneDrive进行数据外泄，攻击者能够在不被发现的情况下长期访问受害者的网络。

Earth Kurma的攻击模式显示出与其他已知APT组织的工具存在重叠，但其独特的攻击模式使其被单独命名。攻击者在横向移动阶段使用多种工具扫描受害者基础设施，并部署恶意软件，包括使用KMLOG窃取凭证。为了保持隐蔽性，攻击者还利用反射加载器和自定义工具来加载和执行恶意负载。

此外，Earth Kurma在数据收集和外泄阶段使用了SIMPOBOXSPY和ODRIZ等工具，将敏感文件上传至云存储。由于其持续的活动和适应能力，东南亚的政府和电信部门面临着严重的网络安全威胁，需采取严格的安全措施以防止数据泄露和网络攻击。