Earth Kurma－東南アジアを標的とするステルス型APTグループ

Earth Kurmaは、少なくとも2020年11月から活動している高度持続的脅威（APT）グループで、標的型のサイバースパイ活動を展開しています。

このグループは、カスタムマルウェア、ルートキット、DropboxやOneDriveなどのクラウドサービスを用いたステルス性の高いデータ窃取を特徴としており、独自のインフラ、ツール群、作戦ペースを持つ点で他のAPTとは一線を画しています。

主な標的は東南アジアの政府機関および通信事業者であり、フィリピン、ベトナム、タイ、マレーシアでの活動が確認されています。

初期アクセスの手法は特定されていませんが、侵入後にはICMPinger、NBTScan、LADON、WMIHACKER、FRPCなどのツールを使用して、内部偵察、ホスト探索、横展開を行います。

これらのツールは難読化されたリフレクティブローディング型バイナリとして実行され、ICMPプロービング、WMIやSMBコマンド、FRPCによるリモートトンネリングを通じてステルス性の高いピボットを実現します。

認証情報の窃取には、KMLOGというカスタムキーロガーが使用され、出力は偽のZIPヘッダーで隠蔽されAppDataディレクトリに保存されます。永続化は、DUNLOADER、TESDAT、DMLOADERなどのメモリ上ローダによって実現され、rundll32.exe、SwitchToFiber、メモリデコードを通じてペイロードが実行されます。

カーネルレベルのルートキット（MORIYA、KRNRAT）は、トラフィックのインターセプト、AES復号化されたペイロードのsvchost.exeへのインジェクション、システムコール列挙やIOCTLによる痕跡の隠蔽を通じて、隠密性の高いアクセスを維持します。TESDATは、改変された文書（.pdf、.doc、.xls、.ppt）を収集し、ホスト名付きのパスワード保護されたパッケージにアーカイブします。

データは、SIMPOBOXSPYを通じてDropboxへ、ODRIZを通じてOneDriveへ送信され、トークンやファイル名パターンを用いて検知を回避します。ファイルはSYSVOLに一時保存され、DFSR（分散ファイルシステムレプリケーション）を通じて冗長化されます。

Earth Kurmaのステルス性の高い戦術とクラウドベースのデータ窃取は、ネットワークのセグメンテーション、クラウド環境の監視、メモリベースの高度な脅威検知の必要性を強く示しています。

• 自社環境におけるIoC（侵害の兆候）を監視し、異常を早期に検知する。
• Windows環境を最新の状態に保ち、多要素認証（MFA）を導入して保護を強化する。
• 包括的な脅威評価（フルスペクトラムアセスメント）を実施し、盲点や改善点を洗い出す。
   

※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

• EDDIESTEALER－ユーザを騙すことで拡散するRust製情報窃取型マルウェア（6/10）
• ViperSoftX－多段階構成で世界的に拡散する情報窃取型マルウェア（6/17）
• XDSpy－ステルス型の政府侵入活動で再浮上（6/24）