Компания Trend Micro выпустила отчет, в котором подробно описывается деятельность Earth Kasha (Purple Typhoon) - кибершпионажной группы, известной использованием вредоносной программы LODEINFO и нацеленной в основном на организации в Японии. Хотя некоторые исследователи предполагают связь с APT10, Trend Micro считает Earth Kasha отдельной организацией в рамках «APT10 Umbrella» - термина, обозначающего группы, связанные с операционными методами APT10. Это различие обусловлено общими тактиками и вредоносным ПО, но прямых доказательств для полного объединения двух групп недостаточно.
Earth Kasha (APT10) APT
С начала 2023 года Earth Kasha расширила свою деятельность за пределы Японии, включив в нее высокопоставленные цели на Тайване и в Индии, сосредоточившись на правительственных учреждениях и передовых технологических отраслях. Их последние кампании демонстрируют стратегическую эволюцию: для получения первоначального доступа используются уязвимости в общедоступных корпоративных приложениях, таких как FortiOS/FortiProxy и Array AG. В последующих действиях по эксплуатации особое внимание уделяется сохранению, латеральному перемещению и краже учетных данных, при этом используются такие бэкдоры, как LODEINFO, NOOPDOOR и фреймворк Cobalt Strike.
Вредоносная программа LODEINFO, занимающая центральное место в кампаниях Earth Kasha, постоянно совершенствуется, и в последних атаках были замечены ее новые версии. Эта вредоносная программа используется наряду с такими инструментами, как MirrorStealer, который извлекает учетные данные из браузеров и почтовых клиентов, и NOOPDOOR, сложный бэкдор с передовыми методами обхода. Эти инструменты позволяют осуществлять масштабную кражу данных и проникать в сети жертв.
Сравнительный анализ выявил совпадения между Earth Kasha и другими кампаниями, связанными с APT10, особенно в таких тактиках, как использование уязвимостей SSL-VPN и злоупотребление легитимными инструментами для сбора учетных данных. Однако наборы инструментов отличаются, что говорит о независимости операций, хотя потенциально они могут иметь общие ресурсы или операторов. Атрибуция Earth Kasha, проведенная Trend Micro со средней степенью уверенности, подчеркивает ее связь с более широкой сетью APT10, но не подтверждает прямого контроля. Отдельная оперативная направленность и адаптивные методы группы указывают на ее специализированную роль в экосистеме киберугроз. Эти выводы подчеркивают сложность атрибуции в современной кибервойне и развивающиеся возможности злоумышленников, подобных Earth Kasha.
Indicators of Compromise
IPv4
- 45.76.197.236
Domains
- {DGA}.gotdns.ch
- {DGA}.hopto.org
- {DGA}.myftp.org
- {DGA}.srmbr.com
- {DGA}.tw8sl.com
- ns1.tlsart.com
SHA256
- 8574a494425825958c1e978ca7f66a467954fa90c7c898eebac49928519f0eae
- 87fd4cf002e4d3867462c7a08124cba154750ae78785009a9f213c7479241eef
- 9c681493c81581995e6a48b96411a7004fe77558d7ca863e26398538ad78f385