【安全资讯】Earth Kasha的新LODEINFO活动及其与APT10的关联分析

概要：

近年来，网络安全威胁不断升级，Earth Kasha组织的新一轮LODEINFO恶意软件活动引起了广泛关注。自2019年以来，该组织主要针对日本的攻击活动在2023年初发生了显著变化，扩展到台湾和印度等地区，显示出其攻击策略的演变和复杂性。

主要内容：

Earth Kasha自2019年起使用LODEINFO恶意软件进行攻击，最初主要针对日本的公共机构和学术界。2023年初，该组织的攻击范围扩大，开始针对台湾和印度的一些高知名度组织，尤其是与先进技术和政府相关的行业。其攻击手法也发生了变化，利用公共应用程序的漏洞进行初始访问，包括SSL-VPN和文件存储服务等。

在后期利用阶段，Earth Kasha的主要目标是窃取受害者的信息和数据。他们使用合法的Microsoft工具（如csvde.exe和nltest.exe）获取Active Directory配置和域用户信息，并通过遍历文件服务器寻找系统信息相关的文档。为了获取凭证，Earth Kasha还使用了名为MirrorStealer的恶意软件，针对多个应用程序提取存储的凭证。

此外，Earth Kasha在新活动中还引入了新的后门工具，如NOOPDOOR，显示出其在恶意软件使用上的灵活性和适应性。通过对多个活动的分析，研究人员认为，Earth Kasha与APT10之间可能存在联系，尽管目前尚无确凿证据。该组织的活动不仅对受害者造成了严重的数据泄露风险，也对国家安全构成了潜在威胁。