بخشهای دولتی و مخابراتی در جنوب شرقی آسیا به ویژه فیلیپین، ویتنام، تایلند و مالزی از ژوئن ۲۰۲۴ هدف یک کمپین پیچیده توسط گروه APT جدید Earth Kurma قرار گرفتهاند.
بنابر گفته Trend Micro، حملات عمدتاً با تکیه بر Dropbox و Microsoft OneDrive جهت استخراج دادههای حساس و با استفاده از ابزارهای DUNLOADER، TESDAT، SIMPOBOXSPY و DMLOADER انجام شدهاند. دو خانواده بدافزار قابل توجه دیگر روتکیتهای KRNRAT و Moriya هستند که مورد دوم پیشتر در حملاتی مشاهده شده است که سازمانهای برجسته آسیا و آفریقا را در کمپین جاسوسی TunnelSnake هدف قرار داده بود. همچنین SIMPOBOXSPY و اسکریپت استخراج مورد استفاده در این کمپین، با گروه APT دیگری با نام ToddyCat همپوشانی دارد. از جای پای دسترسی اولیه برای اسکن و انجام حرکات جانبی با استفاده از ابزارهای مختلفی مانند NBTSCAN، Ladon، FRPC، WMIHACKER و ICMPinger سوءاستفاده میشود. افزون بر این، یک کیلاگر به نام KMLOG برای جمعآوری اعتبارنامهها مستقر شده است. ماندگاری روی میزبانها توسط لودرهای نامبرده شده انجام میشود که قادر به بارگذاری پیلودهای مرحله بعدی در حافظه و اجرای آنها هستند. این پیلودها شامل Cobalt Strike Beacons، روتکیتهای KRNRAT و Moriya و نیز بدافزارهای استخراج دادهها میشوند.
https://thehackernews.com/2025/04/earth-kurma-targets-southeast-asia-with.html
