Trend Research เปิดเผยการดำเนินการโจมตีของกลุ่ม APT ใหม่ชื่อ “Earth Kurma” ซึ่งมุ่งเป้าไปที่หน่วยงานรัฐบาลและองค์กรโทรคมนาคมในประเทศฟิลิปปินส์ เวียดนาม ไทย และมาเลเซีย โดยกลุ่มนี้ใช้ custom malware, rootkits และบริการ cloud storage เช่น Dropbox และ OneDrive เพื่อจารกรรมข้อมูล ขโมย credentials และส่งข้อมูลออกนอกเครือข่าย พร้อมใช้ advanced evasion techniques เพื่อหลบเลี่ยงการตรวจจับ นักวิจัยคาดว่าผู้โจมตีสามารถแทรกซึมอยู่ในระบบได้เป็นเวลานานโดยไม่ถูกตรวจพบ
การวิเคราะห์พบว่า Earth Kurma ใช้เครื่องมือเช่น NBTSCAN, Ladon, FRPC, WMIHACKER และ ICMPinger เพื่อทำ lateral movement และ network scanning รวมถึงติดตั้ง keylogger (KMLOG) แบบ custom และใช้ loaders อย่าง DUNLOADER, TESDAT และ DMLOADER เพื่อรัน payloads ในหน่วยความจำ ทั้งยัง deploy rootkits เช่น KRNRAT และ MORIYA เพื่อรักษาการคงอยู่และลักลอบส่งข้อมูลออกอย่างแนบเนียน ผ่านการสื่อสารปลอมตัวเป็นไฟล์ปกติ โดยในบางกรณีใช้ไลบรารี syssetup.dll เพื่อช่วยติดตั้ง rootkits ลงในระบบ
Trend Micro ระบุว่า Earth Kurma ได้เริ่มปฏิบัติการตั้งแต่ปี 2020 โดยพบว่าเครื่องมือบางตัวมีความคล้ายกับกลุ่ม APT อื่น เช่น Operation TunnelSnake และ ToddyCat แต่จากรูปแบบการโจมตีที่แตกต่างกัน ทำให้ยังไม่สามารถสรุปการเชื่อมโยงได้อย่างชัดเจน ปัจจุบัน Earth Kurma ยังคงดำเนินการโจมตีในภูมิภาคเอเชียตะวันออกเฉียงใต้อย่างต่อเนื่อง ด้วยความสามารถในการปรับแต่งเครื่องมือ ใช้โค้ดฐานเดิม และอาศัยโครงสร้างพื้นฐานของเหยื่อเพื่อบรรลุเป้าหมายได้อย่างมีประสิทธิภาพ
ที่มา : thaicert / วันที่เผยแพร่ 30 เมษายน 2568
Link : https://shorturl.at/4MtUF
