Los sectores gubernamentales y de telecomunicaciones en el sudeste asiático se han convertido en el objetivo de una campaña «sofisticada» emprendida por un nuevo grupo avanzado de amenaza persistente (APT) llamada Tierra Kurma desde junio de 2024.
Los ataques, por tendencia micro, han aprovechado los servicios personalizados de malware, RootKits y almacenamiento en la nube para la exfiltración de datos. Filipinas, Vietnam, Tailandia y Malasia se encuentran entre los objetivos prominentes.
«Esta campaña plantea un alto riesgo comercial debido al espionaje objetivo, el robo de credenciales, el punto de apoyo persistente establecido a través de los raíces a nivel de núcleo y la exfiltración de datos a través de plataformas de nubes de confianza», dijeron los investigadores de seguridad Nick Dai y Sunny Lu en un análisis publicado la semana pasada.
Las actividades del actor de amenaza se remontan a noviembre de 2020, con las intrusiones que dependen principalmente de servicios como Dropbox y Microsoft OneDrive para desviar datos confidenciales utilizando herramientas como Tesdat y Simpoboxspy.
Otras dos familias de malware notables en su arsenal incluyen rootkits como Krnrat y Moriya, el último de los cuales se ha observado previamente en ataques dirigidos a organizaciones de alto perfil en Asia y África como parte de una campaña de espionaje denominada serpiente de túneles.
Trend Micro también dijo que SimpoBoxspy y el script de exfiltración utilizado en los ataques comparten superposiciones con otro grupo apto con nombre en código Toddycat. Sin embargo, una atribución definitiva sigue sin concluir.
Actualmente no se sabe cómo los actores de amenaza obtienen acceso inicial a entornos objetivo. El punto de apoyo inicial se abusa de escanear y realizar un movimiento lateral utilizando una variedad de herramientas como NBTScan, Ladon, FRPC, WMIHacker e ICMPinger. También se implementa un keylogger denominado Kmlog para cosechar credenciales.
Vale la pena señalar que el uso del marco Ladon de código abierto se ha atribuido previamente a un grupo de piratería vinculado a China llamado TA428 (también conocido como Panda Vicious).
La persistencia en los hosts se realiza por tres cepas de cargador diferentes denominadas Dunloader, Tesdat y DMLoader, que son capaces de cargar cargas útiles de la próxima etapa en la memoria y ejecutarlas. Estos consisten en balizas de ataque de cobalto, raíces como Krnrat y Moriya, así como malware de exfiltración de datos.
Lo que distingue a estos ataques es el uso de técnicas de vida-de la tierra (LOTL) para instalar RootKits, donde los piratas informáticos emplean herramientas y características legítimas del sistema, en este caso, syssetup.dll, en lugar de introducir malware fácilmente detectable.
Mientras que Moriya está diseñada para inspeccionar los paquetes TCP entrantes para una carga útil maliciosa e inyectar shellcode en un proceso «svchost.exe» recientemente engendrado, Krnrat es una amalgamación de cinco proyectos de código abierto diferentes con capacidades como la manipulación de procesos, ocultación de archivos, dirección de shell-codo, conclamación de tráfico y comando de comando y c-control (c2).
Krnrat, como Moriya, también está diseñado para cargar un agente en modo de usuario del rootkit e inyectarlo en «svchost.exe». El agente de modo de usuario sirve como puerta trasera para recuperar una carga útil de seguimiento del servidor C2.
«Antes de exfiltrar los archivos, varios comandos ejecutados por el cargador Tesdat recopilaron archivos de documentos específicos con las siguientes extensiones: .pdf, .doc, .docx, .xls, .xlsx, .ppt y .pptx», dijeron los investigadores. «Los documentos se colocan primero en una carpeta recientemente creada llamada» TMP «, que luego se archiva usando Winrar con una contraseña específica».
Una de las herramientas a medida utilizadas para la exfiltración de datos es SIMPOBOXSPY, que puede cargar el archivo RAR a Dropbox con un token de acceso específico. Según un informe de Kasperksy de octubre de 2023, el cargador de Dropbox genérico «probablemente no sea utilizado exclusivamente por Toddycat».
Odriz, otro programa utilizado para el mismo propósito, carga la información recopilada para OneDrive especificando el token de actualización OneDrive como un parámetro de entrada.
«La Tierra Kurma sigue siendo muy activa, continuando atacando a los países del sudeste asiático», dijo Trend Micro. «Tienen la capacidad de adaptarse a los entornos de las víctimas y mantener una presencia sigilosa».
«También pueden reutilizar la misma base de código de las campañas previamente identificadas para personalizar sus conjuntos de herramientas, a veces incluso utilizando la infraestructura de la víctima para lograr sus objetivos».