Положились на облака — утратили контроль: документы правительства оказались у Earth Kurma.

Одна папка в Windows помогла украсть тысячи секретов.

Кибершпионаж снова на первых полосах: специалисты Trend Research выявили масштабную кампанию атак, направленных на госучреждения и телеком-компании Юго-Восточной Азии. За ней стоит новая группировка Earth Kurma, использующая продвинутые методы маскировки, собственные вредоносные программы и облачные сервисы для скрытного вывода данных.

Активность Earth Kurma фиксируется с середины 2024 года, однако первые следы атак относятся к ноябрю 2020-го. Основные цели — правительственные структуры и операторы связи на Филиппинах, во Вьетнаме, Таиланде и Малайзии. Хакеры применяют руткиты, похищают учетные данные и передают документы через облака вроде Dropbox и OneDrive.

Для заражения используются загрузчики DUNLOADER, TESDAT и DMLOADER, а скрытное присутствие обеспечивают руткиты MORIYA и KRNRAT. Вредоносные компоненты встраиваются в системные процессы, делая обнаружение крайне сложным. На этапе распространения Earth Kurma активно применяет открытые инструменты для сканирования и перемещения внутри сетей, а для кражи учетных данных — кейлоггер KMLOG.

Ключевая особенность — использование встроенных функций Windows для эксфильтрации данных. Похищенные документы собираются в архивы и размещаются в папке «sysvol» на контроллерах домена, после чего автоматически распространяются по всей инфраструктуре через Distributed File System Replication (DFSR).

Также установлены связи Earth Kurma с предыдущими операциями Operation TunnelSnake и группировкой ToddyCat, однако методы работы указывают на определённые отличия.

Эксперты советуют усилить защиту, требовать цифровую подпись драйверов, ограничить использование SMB и контролировать каталоги Active Directory.