Sektor Pemerintah dan Telekomunikasi di Asia Tenggara telah menjadi target kampanye “canggih” yang dilakukan oleh kelompok ancaman persisten yang baru (APT) yang disebut Kurma Bumi Sejak Juni 2024.
Serangan, per tren mikro, telah memanfaatkan malware khusus, rootkit, dan layanan penyimpanan cloud untuk exfiltration data. Filipina, Vietnam, Thailand, dan Malaysia adalah salah satu target terkemuka.
“Kampanye ini menimbulkan risiko bisnis yang tinggi karena spionase yang ditargetkan, pencurian kredensial, pijakan persisten yang ditetapkan melalui rootkit tingkat kernel, dan exfiltration data melalui platform cloud tepercaya,” kata peneliti keamanan Nick Dai dan Sunny Lu dalam analisis yang diterbitkan minggu lalu.
Kegiatan aktor ancaman berasal dari November 2020, dengan intrusi terutama mengandalkan layanan seperti Dropbox dan Microsoft OneDrive untuk menyedot data sensitif menggunakan alat seperti Tesdat dan Simpoboxspy.
Dua keluarga malware penting lainnya di gudang senjata termasuk rootkit seperti Krnrat dan Moriya, yang terakhir telah diamati sebelumnya dalam serangan yang ditujukan untuk organisasi profil tinggi di Asia dan Afrika sebagai bagian dari kampanye spionase yang dijuluki Tunnelsnake.
Trend Micro juga mengatakan bahwa SimpoBoxSpy dan skrip exfiltration yang digunakan dalam serangan berbagi tumpang tindih dengan grup APT lain dengan nama kode Toddycat. Namun, atribusi yang pasti tetap tidak meyakinkan.
Saat ini tidak diketahui bagaimana para aktor ancaman mendapatkan akses awal ke lingkungan target. Pijakan awal kemudian disalahgunakan untuk memindai dan melakukan gerakan lateral menggunakan berbagai alat seperti NBTScan, Ladon, FRPC, Wmihacker, dan Icmpinger. Juga digunakan adalah keylogger yang disebut KMLOG untuk memanen kredensial.
Perlu dicatat bahwa penggunaan kerangka kerja Ladon open-source sebelumnya telah dikaitkan dengan kelompok peretasan yang terkait dengan China yang disebut TA428 (alias Vicious Panda).
Kegigihan pada host dilakukan oleh tiga strain loader berbeda yang disebut sebagai Dunloader, Tesdat, dan DMLoader, yang mampu memuat muatan tahap berikutnya ke dalam memori dan mengeksekusi mereka. Ini terdiri dari suar mogok kobalt, rootkit seperti Krnrat dan Moriya, serta malware exfiltration data.
Yang membedakan serangan ini adalah penggunaan teknik hidup-off-the-land (LOTL) untuk menginstal rootkit, di mana peretas menggunakan alat dan fitur sistem yang sah, dalam hal ini, syssetup.dll, daripada memperkenalkan malware yang mudah dideteksi.
Sementara Moriya direkayasa untuk memeriksa paket TCP yang masuk untuk muatan berbahaya dan menyuntikkan shellcode ke dalam proses “svchost.exe” yang baru ditelur, Krnrat adalah penggabungan lima proyek open-source yang berbeda dengan kemampuan seperti manipulasi, dan c-community, dan concongor c-community, dan c-communication, dan Concealment.
Krnrat, seperti Moriya, juga dirancang untuk memuat agen mode pengguna rootkit dan menyuntikkannya ke “svchost.exe.” Agen mode pengguna berfungsi sebagai backdoor untuk mengambil muatan lanjutan dari server C2.
“Sebelum mengekspiltrasi file, beberapa perintah yang dieksekusi oleh loader tesdat mengumpulkan file dokumen spesifik dengan ekstensi berikut: .pdf, .doc, .docx, .xls, .xlsx, .ppt, dan .ppptx,” kata para peneliti. “Dokumen -dokumen tersebut pertama kali ditempatkan ke dalam folder yang baru dibuat bernama” TMP, “yang kemudian diarsipkan menggunakan Winrar dengan kata sandi tertentu.”
Salah satu alat yang dipesan lebih dahulu yang digunakan untuk exfiltrasi data adalah SimpoBoxSpy, yang dapat mengunggah arsip RAR ke Dropbox dengan token akses tertentu. Menurut laporan Kasperksy dari Oktober 2023, pengunggah dropbox generik “mungkin tidak secara eksklusif digunakan oleh Toddycat.”
Odriz, program lain yang digunakan untuk tujuan yang sama, mengunggah informasi yang dikumpulkan ke OneDrive dengan menentukan token refresh onedrive sebagai parameter input.
“Bumi Kurma tetap sangat aktif, terus menargetkan negara -negara di sekitar Asia Tenggara,” kata Trend Micro. “Mereka memiliki kemampuan untuk beradaptasi dengan lingkungan korban dan mempertahankan kehadiran yang tersembunyi.”
“Mereka juga dapat menggunakan kembali basis kode yang sama dari kampanye yang diidentifikasi sebelumnya untuk menyesuaikan peralatan mereka, kadang -kadang bahkan memanfaatkan infrastruktur korban untuk mencapai tujuan mereka.”
