Campaña Earth Kurma dirigida a sectores gubernamentales y de telecomunicaciones

Una nueva amenaza cibernética, conocida como Earth Kurma, ha puesto en la mira a los sectores gubernamental y de telecomunicaciones del sudeste asiático desde junio de 2024. ¿El objetivo? Ciberespionaje a gran escala y robo de información sensible.

Según un reciente informe de la firma de seguridad Trend Micro, este grupo de hackers avanzados (APT) está empleando tácticas muy elaboradas para infiltrarse en sistemas críticos. Su modus operandi incluye el uso de malware hecho a medida, rootkits (software malicioso que se oculta profundamente en el sistema) y plataformas de almacenamiento en la nube para extraer datos sin levantar sospechas.

¿Qué países están en riesgo? Filipinas, Vietnam, Tailandia y Malasia ya han sido identificados como objetivos principales de esta peligrosa campaña.

¿Por qué esta amenaza es tan grave?

Los expertos de Trend Micro, Nick Dai y Sunny Lu, advierten que los ataques de Earth Kurma representan un alto riesgo para las empresas y los gobiernos. No se trata solo de robar información; estos hackers buscan establecer una presencia persistente en los sistemas a través de rootkits a nivel del kernel, lo que les permite volver una y otra vez. Además, utilizan servicios en la nube populares como Dropbox y OneDrive para sacar la información robada, lo que dificulta su detección.

Tras la pista de Earth Kurma: Un historial de ciberespionaje

Las actividades de este grupo no son nuevas. Se han rastreado intrusiones desde noviembre de 2020, utilizando herramientas como TESDAT y SIMPOBOXSPY para desviar datos confidenciales a través de las plataformas de almacenamiento en la nube mencionadas.

Su arsenal de malware también incluye rootkits como KRNRAT y Moriya. Este último ya tiene un historial preocupante, ya que se le ha visto en ataques dirigidos a organizaciones de alto perfil en Asia y África como parte de la campaña de espionaje TunnelSnake.

¿Conexión con otros grupos de hackers?

Trend Micro ha encontrado similitudes entre las herramientas de Earth Kurma (SIMPOBOXSPY) y las de otro grupo APT llamado ToddyCat. Sin embargo, aún no se puede confirmar si están relacionados.

El misterio del acceso inicial y las tácticas de movimiento lateral

Actualmente, los investigadores no saben cómo Earth Kurma logra entrar en los sistemas de sus víctimas. Una vez dentro, utilizan diversas herramientas como NBTSCAN, Ladon, FRPC, WMIHACKER e ICMPinger para explorar la red y moverse lateralmente, buscando más información valiosa. También instalan un keylogger (KMLOG) para robar contraseñas.

Ojo con Ladon: Esta herramienta de código abierto ya ha sido vinculada a un grupo de hackers chino llamado TA428 (o Vicious Panda), lo que añade una capa más de complejidad a la investigación.

Persistencia silenciosa: El arte de no ser detectado

Para asegurarse de mantener el acceso a los sistemas comprometidos, Earth Kurma utiliza tres tipos de "cargadores" maliciosos: DUNLOADER, TESDAT y DMLOADER. Estos programas pueden cargar y ejecutar más malware en la memoria, incluyendo Cobalt Strike Beacons, los rootkits KRNRAT y Moriya, y herramientas para la exfiltración de datos.

Lo que hace que estos ataques sean especialmente difíciles de detectar es su uso de técnicas "Living off the Land" (LotL). En lugar de introducir software malicioso obvio, los hackers aprovechan herramientas legítimas del sistema, como el archivo syssetup.dll, para instalar los rootkits de forma encubierta.

Análisis técnico de los rootkits: Moriya y KRNRAT

• Moriya: Este rootkit está diseñado para analizar el tráfico de red (paquetes TCP) en busca de código malicioso e inyectarlo en un proceso legítimo del sistema (svchost.exe).
• KRNRAT: Una combinación de varios proyectos de código abierto, este rootkit tiene múltiples capacidades, incluyendo la manipulación de procesos, el ocultamiento de archivos, la ejecución de código malicioso, el camuflaje del tráfico de red y la comunicación con sus servidores de control. Al igual que Moriya, se inyecta en el proceso svchost.exe y utiliza un agente en modo de usuario como puerta trasera para recibir más instrucciones.

El robo de documentos y la ruta hacia la nube

Antes de enviar los datos robados, los hackers utilizan el cargador TESDAT para buscar archivos específicos con extensiones como .pdf, .doc, .docx, .xls, .xlsx, .ppt y .pptx. Estos documentos se guardan temporalmente en una carpeta llamada "tmp", se comprimen con WinRAR utilizando una contraseña y luego se envían.

Para esta exfiltración de datos, utilizan herramientas personalizadas como SIMPOBOXSPY, que puede subir los archivos comprimidos directamente a cuentas de Dropbox utilizando tokens de acceso específicos. Curiosamente, un informe anterior de Kaspersky sugiere que el cargador de Dropbox utilizado no es exclusivo de otro grupo de hackers (ToddyCat).

También emplean ODRIZ para cargar la información robada en OneDrive, utilizando un token de actualización específico.

¿Qué podemos esperar?
Trend Micro advierte que Earth Kurma sigue muy activo y continuará atacando países del sudeste asiático. Su capacidad para adaptarse a los sistemas de sus víctimas y mantener una presencia sigilosa los convierte en una amenaza persistente y peligrosa. Además, su habilidad para reutilizar código de campañas anteriores les permite personalizar sus herramientas de manera eficiente, incluso utilizando la propia infraestructura de las víctimas para lograr sus objetivos.

Mantente alerta: Si trabajas en los sectores gubernamental o de telecomunicaciones en el sudeste asiático, es crucial estar al tanto de esta amenaza y tomar medidas preventivas para proteger tus sistemas y tu información.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta