Доверились облакам — потеряли контроль: правительственные документы оказались в руках Earth Kurma

Кибер шпионаж снова в центре внимания: специалисты Trend Research зафиксировали масштабную кампанию взломов, направленных против государственных учреждений и телекоммуникационных компаний в Юго-Восточной Азии. За атаками стоит новая группировка Earth Kurma, применяющая сложные методы маскировки, собственные вредоносные программы и использование облачных сервисов для скрытной кражи данных.

Активность Earth Kurma отмечена с середины 2024 года, хотя следы операций прослеживаются ещё с ноября 2020 года. Главной целью стали правительства и телекоммуникационные структуры Филиппин, Вьетнама, Таиланда и Малайзии. Вредоносная деятельность включает в себя внедрение руткитов, похищение учетных данных и передачу документов через популярные облачные платформы вроде Dropbox и OneDrive.

Исследователи зафиксировали использование Earth Kurma ряда специализированных средств: от загрузчиков DUNLOADER, TESDAT и DMLOADER до руткитов MORIYA и KRNRAT. Загрузчики маскируются под обычные пользовательские файлы, а сами руткиты обеспечивают скрытное присутствие в системах, перехватывая сетевой трафик и встраивая в него управляющие команды. Сложность применения системных функций через прямые системные вызовы делает обнаружение особенно трудной задачей.

На этапе распространения вредоносных компонентов Earth Kurma активно использует открытые инструменты для сканирования сетей и перемещения между машинами, такие как NBTSCAN, LADON, FRPC и WMIHACKER. Кроме того, для кражи учетных данных применяется специальный кейлоггер KMLOG, маскирующий свои логи под архивы.

Для закрепления в системе атака завершается установкой руткитов. MORIYA способен перехватывать пакеты TCP и внедрять в них команды управления, а KRNRAT представляет собой полноценный бэкдор с функциями скрытия процессов, сокрытия файлов и сетевых соединений, а также возможностью внедрения произвольного кода.

Ключевой особенностью Earth Kurma стала инновационная тактика эксфильтрации данных через уже существующие механизмы Windows. В частности, похищенные документы сначала собираются в локальные архивы, а затем размещаются в системной папке «sysvol» на контроллерах домена Active Directory. Благодаря функции Distributed File System Replication (DFSR) архивы автоматически распространяются между серверами, что позволяет злоумышленникам извлекать данные с любой точки инфраструктуры.

В ходе расследования были обнаружены связи Earth Kurma с другими известными кампаниями: Operation TunnelSnake и группировкой ToddyCat. Однако различия в методах атаки не позволили сделать окончательные выводы о полной идентичности групп.

Для защиты от подобных угроз специалисты рекомендуют внедрить строгую политику установки драйверов с обязательной цифровой подписью, усилить контроль над каталогами Active Directory и ограничить использование протокола SMB для снижения риска бокового перемещения злоумышленников в сети.