กลุ่ม Earth Kurma โจมตีเอเชียตะวันออกเฉียงใต้ด้วย Rootkit และเครื่องมือขโมยข้อมูลผ่านคลาวด์

29 April 2568
3
Earth Kurma ได้เริ่มปฏิบัติการโจมตีแบบต่อเนื่อง (APT) ตั้งแต่กลางปี 2024 โดยมุ่งเป้าหมายไปที่หน่วยงานรัฐบาลและภาคโทรคมนาคมในประเทศแถบเอเชียตะวันออกเฉียงใต้ เช่น ฟิลิปปินส์ เวียดนาม ไทย และมาเลเซีย จุดเด่นของกลุ่มนี้คือการใช้มัลแวร์เฉพาะทาง, rootkit ระดับ kernel และบริการคลาวด์อย่าง Dropbox และ OneDrive เพื่อขโมยข้อมูลสำคัญขององค์กร ในกระบวนการโจมตี ใช้เทคนิค Living-off-the-Land (LotL) ซึ่งอาศัยเครื่องมือภายในระบบที่ถูกต้องตามกฎหมาย เพื่อลดโอกาสในการถูกตรวจจับ โดยใช้มัลแวร์อย่าง TESDAT, SIMPOBOXSPY, KRNRAT และ Moriyaในการเจาะระบบ, ฝังตัว, ดักจับข้อมูล และส่งออกข้อมูลที่ถูกบีบอัดด้วยรหัสผ่านไปยังคลาวด์ นอกจากนี้ยังมีการเคลื่อนไหวในเครือข่ายภายในและใช้ keylogger เพื่อขโมยรหัสผ่านผู้ใช้ คำแนะนำ - ควรมีการอัปเดตระบบปฏิบัติการ - ควรควบคุมการใช้บริการ Dropbox, OneDrive และบริการเก็บข้อมูลคลาวด์อื่น ๆ - ควรติดตั้งระบบตรวจสอบการเคลื่อนไหวภายในเครือข่าย (NDR, EDR, หรือ SIEM)

Earth Kurma ได้เริ่มปฏิบัติการโจมตีแบบต่อเนื่อง (APT) ตั้งแต่กลางปี 2024 โดยมุ่งเป้าหมายไปที่หน่วยงานรัฐบาลและภาคโทรคมนาคมในประเทศแถบเอเชียตะวันออกเฉียงใต้ เช่น ฟิลิปปินส์ เวียดนาม ไทย และมาเลเซีย จุดเด่นของกลุ่มนี้คือการใช้มัลแวร์เฉพาะทาง, rootkit ระดับ kernel และบริการคลาวด์อย่าง Dropbox และ OneDrive เพื่อขโมยข้อมูลสำคัญขององค์กร

ในกระบวนการโจมตี ใช้เทคนิค Living-off-the-Land (LotL) ซึ่งอาศัยเครื่องมือภายในระบบที่ถูกต้องตามกฎหมาย เพื่อลดโอกาสในการถูกตรวจจับ โดยใช้มัลแวร์อย่าง TESDAT, SIMPOBOXSPY, KRNRAT และ Moriyaในการเจาะระบบ, ฝังตัว, ดักจับข้อมูล และส่งออกข้อมูลที่ถูกบีบอัดด้วยรหัสผ่านไปยังคลาวด์ นอกจากนี้ยังมีการเคลื่อนไหวในเครือข่ายภายในและใช้ keylogger เพื่อขโมยรหัสผ่านผู้ใช้

คำแนะนำ

  • ควรมีการอัปเดตระบบปฏิบัติการ
  • ควรควบคุมการใช้บริการ Dropbox, OneDrive และบริการเก็บข้อมูลคลาวด์อื่น ๆ
  • ควรติดตั้งระบบตรวจสอบการเคลื่อนไหวภายในเครือข่าย (NDR, EDR, หรือ SIEM)