SÜDOSTASIEN / MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung in Form einer fortschrittlichen Cyberangriffskampagne hat die Regierung und Telekommunikationssektoren in Südostasien ins Visier genommen. Die Gruppe, bekannt als Earth Kurma, nutzt seit Juni 2024 hochentwickelte Techniken, um sensible Daten zu stehlen.
Die Cyberangriffe von Earth Kurma, die seit Juni 2024 auf die Regierung und Telekommunikationssektoren in Südostasien abzielen, stellen eine ernsthafte Bedrohung dar. Diese Angriffe nutzen maßgeschneiderte Malware, Rootkits und Cloud-Speicherdienste zur Datenexfiltration. Zu den Hauptzielen gehören die Philippinen, Vietnam, Thailand und Malaysia. Laut Sicherheitsexperten birgt diese Kampagne ein hohes Geschäftsrisiko aufgrund gezielter Spionage, Anmeldeinformationsdiebstahl und der Etablierung eines dauerhaften Zugriffs durch Kernel-Level-Rootkits.
Die Aktivitäten der Bedrohungsakteure reichen bis November 2020 zurück. Sie nutzen Dienste wie Dropbox und Microsoft OneDrive, um sensible Daten mit Tools wie TESDAT und SIMPOBOXSPY zu stehlen. Zwei weitere bemerkenswerte Malware-Familien in ihrem Arsenal sind Rootkits wie KRNRAT und Moriya. Letzteres wurde bereits in früheren Angriffen auf hochkarätige Organisationen in Asien und Afrika beobachtet.
Trend Micro hat festgestellt, dass SIMPOBOXSPY und das in den Angriffen verwendete Exfiltrationsskript Überschneidungen mit einer anderen APT-Gruppe namens ToddyCat aufweisen. Eine endgültige Zuordnung bleibt jedoch unklar. Derzeit ist nicht bekannt, wie die Bedrohungsakteure anfänglichen Zugriff auf die Zielumgebungen erlangen. Der anfängliche Zugriff wird dann genutzt, um mit verschiedenen Tools wie NBTSCAN, Ladon, FRPC, WMIHACKER und ICMPinger seitliche Bewegungen durchzuführen.
Bemerkenswert ist die Verwendung von Living-off-the-Land-Techniken zur Installation der Rootkits, bei denen Hacker legitime Systemtools und -funktionen nutzen, anstatt leicht erkennbare Malware einzuführen. Während Moriya darauf ausgelegt ist, eingehende TCP-Pakete auf bösartige Nutzlasten zu überprüfen und Shellcode in einen neu gestarteten “svchost.exe”-Prozess zu injizieren, ist KRNRAT eine Kombination aus fünf verschiedenen Open-Source-Projekten mit Fähigkeiten wie Prozessmanipulation und Dateiverbergung.
Bevor die Dateien exfiltriert werden, sammelt der Loader TESDAT spezifische Dokumentdateien mit den folgenden Erweiterungen: .pdf, .doc, .docx, .xls, .xlsx, .ppt und .pptx. Die Dokumente werden zuerst in einen neu erstellten Ordner namens “tmp” verschoben, der dann mit einem bestimmten Passwort mit WinRAR archiviert wird. Eines der maßgeschneiderten Tools zur Datenexfiltration ist SIMPOBOXSPY, das das RAR-Archiv mit einem bestimmten Zugriffstoken auf Dropbox hochladen kann.
Earth Kurma bleibt hochaktiv und setzt seine Angriffe auf Länder in Südostasien fort. Die Gruppe ist in der Lage, sich an die Umgebungen der Opfer anzupassen und eine unauffällige Präsenz aufrechtzuerhalten. Sie können auch denselben Code aus zuvor identifizierten Kampagnen wiederverwenden, um ihre Werkzeugsätze anzupassen, manchmal sogar die Infrastruktur des Opfers zu nutzen, um ihre Ziele zu erreichen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
KI Software Architekt:in / Entwickler:in (m/w/d)
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
(Gen)AI Project Manager (m/f/d)
Praktikant (m/w/d) im Bereich Innovations -Weiterentwicklung KI gestütztes Innovationsmanagementtool
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Earth Kurma: Neue Bedrohung für Südostasien durch fortschrittliche Cyberangriffe" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Earth Kurma: Neue Bedrohung für Südostasien durch fortschrittliche Cyberangriffe" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Earth Kurma: Neue Bedrohung für Südostasien durch fortschrittliche Cyberangriffe« bei Google Deutschland suchen, bei Bing oder Google News!