مجموعة Earth Kurma تستهدف جنوب شرق آسيا عبر أدوات سرقة بيانات قائمة على السحابة و”روتكيتات” متطورة

تعرضت قطاعات الحكومة والاتصالات في منطقة جنوب شرق آسيا لهجمات إلكترونية معقدة، تقودها مجموعة تهديد متقدمة جديدة تُدعى Earth Kurma، منذ يونيو 2024، باستخدام برمجيات خبيثة مخصصة و”روتكيتات” وأدوات تخزين سحابي لسرقة البيانات.

وبحسب تقرير حديث لشركة الأمن السيبراني Trend Micro، فإن الفلبين وفيتنام وتايلاند وماليزيا تُعد من أبرز الدول المستهدفة ضمن هذه الحملة.

قال الباحثان الأمنيان نيك داي وساني لو:

“تشكل هذه الحملة خطراً كبيراً على الأعمال بسبب أنشطة التجسس الموجه، وسرقة بيانات الاعتماد، وإنشاء موطئ قدم مستمر عبر روتكيتات تعمل بمستوى النواة (Kernel-Level)، وسرقة البيانات عبر منصات سحابية موثوقة.”

خلفية التهديدات

تعود أنشطة مجموعة Earth Kurma إلى نوفمبر 2020، حيث اعتمدت في عملياتها على خدمات التخزين السحابي مثل Dropbox وMicrosoft OneDrive لتسريب بيانات حساسة باستخدام أدوات متقدمة مثل TESDAT وSIMPOBOXSPY.

كما تتضمن ترسانة المجموعة برمجيات خبيثة بارزة أخرى، منها روتكيتات مثل KRNRAT وMoriya، وهو الأخير الذي سبق استخدامه في هجمات تجسسية معروفة ضمن حملة “TunnelSnake” التي استهدفت منظمات رفيعة المستوى في آسيا وأفريقيا.

تقنيات التسلل والتخفي

على الرغم من أن طريقة الوصول الأولي إلى الأنظمة المستهدفة لا تزال غير واضحة، إلا أن المهاجمين يستغلون موطئ القدم الأولي لمسح الشبكة والتنقل الجانبي باستخدام أدوات مثل:

• NBTSCAN

• Ladon

• FRPC

• WMIHACKER

• ICMPinger

كما يستخدمون أداة KMLOG لسرقة بيانات الاعتماد عبر تسجيل ضغطات المفاتيح (Keylogging).

يجدر بالذكر أن إطار العمل مفتوح المصدر Ladon سبق أن استخدمته مجموعة قرصنة مرتبطة بالصين تعرف باسم TA428 أو “الباندا الشرسة”.

أدوات التحميل والهجوم المستمر

تحافظ مجموعة Earth Kurma على وجودها داخل الأجهزة عبر ثلاثة أنواع من المحملات الخبيثة:

• DUNLOADER

• TESDAT

• DMLOADER

وتعمل هذه المحملات على تحميل وتنفيذ مراحل لاحقة من الهجوم داخل الذاكرة، بما في ذلك تحميل منارات Cobalt Strike، والروتكيتات مثل KRNRAT وMoriya، وبرمجيات سرقة البيانات.

التميز عبر استراتيجيات “العيش من موارد النظام” (LotL)

تتميز هذه الهجمات باستخدام استراتيجيات “العيش من موارد النظام” (Living-off-the-Land)، حيث يتم تثبيت الروتكيتات عبر أدوات النظام الشرعية مثل syssetup.dll بدلاً من استخدام برمجيات خبيثة يسهل كشفها.

وتقوم برمجية Moriya بمراقبة الحزم الواردة عبر بروتوكول TCP بحثاً عن تعليمات خبيثة، ثم تحقن الشيفرة البرمجية (Shellcode) داخل عملية جديدة من svchost.exe.

أما برمجية KRNRAT، فهي تجمع بين تقنيات متعددة تشمل:

• التلاعب بالعمليات

• إخفاء الملفات

• تنفيذ الشيفرات البرمجية

• إخفاء حركة المرور

• التواصل مع خوادم القيادة والسيطرة (C2)

كيف يتم سرقة البيانات؟

قبل تسريب الملفات، يقوم محمل TESDAT بتجميع مستندات بامتدادات محددة مثل:

• .pdf

• .doc / .docx

• .xls / .xlsx

• .ppt / .pptx

تُخزن هذه المستندات داخل مجلد مؤقت باسم “tmp”، ثم يتم أرشفتها باستخدام أداة WinRAR مع تعيين كلمة مرور محددة.

تُرفع هذه الأرشفة إلى:

• Dropbox باستخدام أداة SIMPOBOXSPY مع رمز وصول خاص.

• OneDrive باستخدام برنامج آخر يدعى ODRIZ مع رمز تحديث OneDrive كمعامل إدخال.

تقييم الوضع الحالي

أكدت Trend Micro أن:

“مجموعة Earth Kurma لا تزال نشطة للغاية، وتواصل استهداف دول جنوب شرق آسيا، مع قدرة عالية على التكيف مع بيئات الضحايا والحفاظ على وجود خفي.”

وأضافت الشركة أن المجموعة:

“تعيد استخدام قاعدة التعليمات البرمجية الخاصة بحملات سابقة، بل أحياناً تستغل بنية الضحية التحتية لتحقيق أهدافها.”