Earth Kapre 黑客使用武器化 ISO 和 IMG 文件攻击组织

Earth Kapre 黑客使用武器化 ISO 和 IMG 文件攻击组织

臭名昭著的黑客组织 Earth Kapre（也称为 RedCurl 和 Red Wolf）一直利用武器化的ISO 和 IMG 文件瞄准全球各地的组织。

这项全面的调查揭示了该组织为渗透网络、逃避检测和泄露敏感数据而采用的复杂策略。

Earth Kapre 的业务遍及俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国。

该组织通过包含 .iso 和 .img 文件形式的恶意附件的网络钓鱼电子邮件发起攻击。

一旦毫无戒心的收件人打开这些文件，恶意软件就会在系统中建立立足点，为数据盗窃和间谍活动创造条件。

恶意附件

执行后，这些附件会触发创建持久性计划任务，确保恶意软件在受感染的系统中保持活动状态。

计划任务的可疑执行

此技术有助于未经授权收集敏感数据并将其传输到攻击者操作的命令和控制 (C&C) 服务器。

多重耐药调查

趋势科技托管扩展检测和响应 (MDR)和事件响应 (IR) 团队对涉及大量计算机被 Earth Kapre 下载程序感染的事件进行了彻底调查。

观察到该恶意软件与其 C&C 服务器建立连接，暗示存在潜在的数据盗窃情况。

调查发现，使用Powershell.exe 和curl.exe 等合法工具来下载更多恶意负载，展示了 Earth Kapre 复杂的规避技术。

Earth Kapre 狡猾地融入网络并逃避检测，利用程序兼容性助手 (pcalua.exe) 执行恶意命令行。

这种方法使该组织能够在雷达下运作，利用与合法系统工具相关的信任来开展其邪恶活动。

数据盗窃场景

调查揭露了地球卡普雷精心策划的复杂数据盗窃场景。

该小组使用Python 脚本建立出站通信并执行远程命令，表明使用 Impacket 库进行 Windows 网络协议交互。

此活动表明，有人精心协调，从受感染的组织中窃取数据。

Trend Vision One™ 执行配置文件显示使用“curl.exe”下载的 Earth Kapre 加载程序。

Earth Kapre 黑客组织的最新活动凸显了复杂的网络间谍活动所构成的持续而活跃的威胁。

地球卡普雷攻击链

通过利用带有武器化 ISO 和 IMG 文件的网络钓鱼电子邮件，该组织已证明其有能力渗透全球范围内的各种组织。

使用合法工具进行恶意目的进一步凸显了该组织在逃避检测和实现其目标方面的独创性。

敦促组织保持警惕，并采用先进的威胁检测和响应解决方案来有效应对此类复杂的威胁。