【安全资讯】Earth Kasha扩展运营：新型LODEINFO恶意软件袭击政府和高科技行业

概要：

随着网络安全威胁的不断演变，Earth Kasha这一威胁组织的最新活动引起了广泛关注。根据Trend Micro的详细报告，新的LODEINFO恶意软件活动已针对日本、台湾和印度的政府机构及高科技行业展开，显示出该组织战术的显著更新。

主要内容：

Earth Kasha自2019年以来一直使用LODEINFO作为其主要后门，最近的版本（v0.6.9至v0.7.3）引入了增强的凭证窃取和持久性控制等高级功能。这一新活动标志着其目标的转变，虽然日本仍是重点，但台湾和印度的高知名度组织也成为攻击对象。

该组织利用的漏洞包括Array AG (CVE-2023-28461)、Proself (CVE-2023-45727)和FortiOS/FortiProxy (CVE-2023-27997)，这些漏洞被滥用以获得初始访问权限，显示出其从以往依赖钓鱼邮件的显著演变。Earth Kasha现在利用公共应用程序如SSL-VPN和文件存储服务进行初始访问。

一旦进入网络，Earth Kasha部署多种工具，包括Cobalt Strike、MirrorStealer和新识别的NOOPDOOR后门。他们的后期活动集中在数据窃取和持久性控制上，使用vssadmin命令复制注册表，窃取Active Directory服务器的凭证数据。报告指出，Earth Kasha在大多数情况下成功攻陷域管理员，并通过SMB复制组件和滥用schtasks.exe或sc.exe实现横向移动。尽管有猜测认为Earth Kasha与APT10有关，但报告并未确认这一点，认为两者可能是不同实体。