【安全资讯】Earth Kasha扩展运营:新型LODEINFO恶意软件袭击政府和高科技行业

安恒恒脑 2024-11-21 19:06:57 425人浏览

概要:

随着网络安全威胁的不断演变,Earth Kasha这一威胁组织的最新活动引起了广泛关注。根据Trend Micro的详细报告,新的LODEINFO恶意软件活动已针对日本、台湾和印度的政府机构及高科技行业展开,显示出该组织战术的显著更新。

主要内容:

Earth Kasha自2019年以来一直使用LODEINFO作为其主要后门,最近的版本(v0.6.9至v0.7.3)引入了增强的凭证窃取和持久性控制等高级功能。这一新活动标志着其目标的转变,虽然日本仍是重点,但台湾和印度的高知名度组织也成为攻击对象。

该组织利用的漏洞包括Array AG (CVE-2023-28461)、Proself (CVE-2023-45727)和FortiOS/FortiProxy (CVE-2023-27997),这些漏洞被滥用以获得初始访问权限,显示出其从以往依赖钓鱼邮件的显著演变。Earth Kasha现在利用公共应用程序如SSL-VPN和文件存储服务进行初始访问。

一旦进入网络,Earth Kasha部署多种工具,包括Cobalt Strike、MirrorStealer和新识别的NOOPDOOR后门。他们的后期活动集中在数据窃取和持久性控制上,使用vssadmin命令复制注册表,窃取Active Directory服务器的凭证数据。报告指出,Earth Kasha在大多数情况下成功攻陷域管理员,并通过SMB复制组件和滥用schtasks.exe或sc.exe实现横向移动。尽管有猜测认为Earth Kasha与APT10有关,但报告并未确认这一点,认为两者可能是不同实体。
APT 数据泄露 恶意代码 政府部门 高科技
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。