Les secteurs gouvernementaux et des télécommunications en Asie du Sud-Est sont devenus la cible d’une campagne « sophistiquée » menée par un nouveau groupe de menace persistante avancée (APT) appelé Earth Kurma depuis juin 2024.

Selon Trend Micro, ces attaques ont utilisé des logiciels malveillants personnalisés, des rootkits et des services de stockage cloud pour exfiltrer des données. Les Philippines, le Vietnam, la Thaïlande et la Malaisie figurent parmi les principales cibles.

« Cette campagne présente un risque commercial élevé en raison de l’espionnage ciblé, du vol d’informations d’identification, de l’implantation persistante établie via des rootkits au niveau du noyau et de l’exfiltration de données via des plateformes cloud de confiance », ont déclaré les chercheurs en sécurité Nick Dai et Sunny Lu dans une analyse publiée la semaine dernière.

Les activités de l’acteur malveillant remontent à novembre 2020, les intrusions s’appuyant principalement sur des services comme Dropbox et Microsoft OneDrive pour siphonner des données sensibles à l’aide d’outils comme TESDAT et SIMPOBOXSPY.

Deux autres familles de logiciels malveillants notables dans son arsenal incluent des rootkits tels que KRNRAT et Moriya , ce dernier ayant déjà été observé dans des attaques visant des organisations de premier plan en Asie et en Afrique dans le cadre d’une campagne d’espionnage baptisée TunnelSnake.

Trend Micro a également indiqué que SIMPOBOXSPY et le script d’exfiltration utilisé dans les attaques partagent des similitudes avec un autre groupe APT nommé ToddyCat . Cependant, aucune attribution définitive n’a encore été établie.

On ignore actuellement comment les acteurs malveillants accèdent initialement aux environnements ciblés. Cette première implantation est ensuite exploitée pour analyser et effectuer des déplacements latéraux à l’aide de divers outils tels que NBTSCAN, Ladon, FRPC, WMIHACKER et ICMPinger. Un enregistreur de frappe appelé KMLOG est également déployé pour collecter les identifiants.

Il convient de noter que l’utilisation du framework open source Ladon a été précédemment attribuée à un groupe de hackers lié à la Chine appelé TA428 (alias Vicious Panda).

La persistance sur les hôtes est assurée par trois types de chargeurs différents, DUNLOADER, TESDAT et DMLOADER, capables de charger en mémoire et d’exécuter des charges utiles de niveau supérieur. Il s’agit notamment des balises Cobalt Strike, des rootkits comme KRNRAT et Moriya, ainsi que des logiciels malveillants d’exfiltration de données.

Ce qui distingue ces attaques est l’utilisation de techniques de type Living-Off-The-Land (LotL) pour installer les rootkits, où les pirates utilisent des outils et des fonctionnalités système légitimes, dans ce cas, syssetup.dll, plutôt que d’introduire des logiciels malveillants facilement détectables.

Alors que Moriya est conçu pour inspecter les paquets TCP entrants à la recherche d’une charge utile malveillante et injecter du shellcode dans un processus « svchost.exe » nouvellement créé, KRNRAT est un amalgame de cinq projets open source différents avec des capacités telles que la manipulation de processus, le masquage de fichiers, l’exécution de shellcode, le masquage du trafic et la communication de commande et de contrôle (C2).

KRNRAT, comme Moriya, est également conçu pour charger le rootkit dans un agent en mode utilisateur et l’injecter dans « svchost.exe ». Cet agent en mode utilisateur sert de porte dérobée pour récupérer une charge utile ultérieure depuis le serveur C2.

« Avant d’exfiltrer les fichiers, plusieurs commandes exécutées par le chargeur TESDAT ont collecté des fichiers spécifiques portant les extensions suivantes : .pdf, .doc, .docx, .xls, .xlsx, .ppt et .pptx », ont expliqué les chercheurs. « Les documents sont d’abord placés dans un dossier nouvellement créé, nommé “tmp”, qui est ensuite archivé avec WinRAR et un mot de passe spécifique. »

L’un des outils sur mesure utilisés pour l’exfiltration de données est SIMPOBOXSPY, qui permet de télécharger l’archive RAR sur Dropbox grâce à un jeton d’accès spécifique. Selon un rapport Kaspersky d’octobre 2023, l’ outil de téléchargement générique DropBox n’est « probablement pas exclusivement utilisé par ToddyCat ».

ODRIZ, un autre programme utilisé dans le même but, télécharge les informations collectées sur OneDrive en spécifiant le jeton d’actualisation OneDrive comme paramètre d’entrée.

« Earth Kurma reste très actif et continue de cibler les pays d’Asie du Sud-Est », a déclaré Trend Micro. « Ils ont la capacité de s’adapter à l’environnement de leurs victimes et de maintenir une présence furtive. »

« Ils peuvent également réutiliser la même base de code provenant de campagnes précédemment identifiées pour personnaliser leurs outils, parfois même en utilisant l’infrastructure de la victime pour atteindre leurs objectifs. »