Een cyberspionagegroep bekend als Earth Ammit is gekoppeld aan twee gerelateerde maar verschillende campagnes van 2023 tot 2024 gericht op verschillende entiteiten in Taiwan en Zuid -Korea, waaronder militaire, satelliet, zware industrie, media, technologie, softwareservices en gezondheidszorgsectoren.
Cybersecurity Firm Trend Micro zei dat de eerste golf, codenaam gif, voornamelijk gerichte softwareserviceproviders, terwijl de tweede golf, aangeduid als Tidrone, de militaire industrie heeft uitgekozen. Earth Ammit wordt beoordeeld als verbonden te zijn met Chinees sprekende natiestatengroepen.
“In zijn gifcampagne omvatte de benadering van Earth Ammit het binnendringen van het stroomopwaartse segment van de drone -supply chain,” zeiden beveiligingsonderzoekers Pierre Lee, Vickie Su en Philip Chen. “Het langetermijndoel van Earth Ammit is om vertrouwde netwerken in gevaar te brengen via aanvallen van supply chain, waardoor ze zich kunnen richten op hoogwaardige entiteiten stroomafwaarts en hun bereik kunnen versterken.”
De Tidrone -campagne werd vorig jaar voor het eerst blootgesteld door Trend Micro, met details over de aanvallen van het cluster op drone -fabrikanten in Taiwan om aangepaste malware zoals CXCLNT en CLNTEND te leveren. Een daaropvolgend rapport van AhnLab in december 2024 beschreef het gebruik van CLNTEND tegen Zuid -Koreaanse bedrijven.
De aanvallen zijn opmerkelijk voor het richten op de drone -supply chain, waarbij Enterprise Resource Planning (ERP) software wordt gebruikt om de militaire en satellietindustrie te doorbreken. Selecteer incidenten hebben ook betrokken bij het gebruik van vertrouwde communicatiekanalen – zoals monitoring op afstand of IT -managementhulpmiddelen – om de kwaadaardige payloads te distribueren.
De gifcampagne, per trend micro, wordt gekenmerkt door de exploitatie van webserverkwetsbaarheden om webschalen te laten vallen, en vervolgens de toegang tot de installatie van externe toegangstools (rat) voor aanhoudende toegang tot de gecompromitteerde hosts te bewapenen. Het gebruik van open-source tools zoals Revsock en Sliver in de aanvallen wordt gezien als een opzettelijke poging om attributiereacties te bewegen.
De enige op maat gemaakte malware die in de gifcampagne wordt waargenomen, is Venfrpc, een aangepaste versie van FRPC, die op zichzelf een gewijzigde versie is van de open-source Fast Reverse Proxy (FRP) -tool.
Het einddoel van de campagne is om referenties uit de overtreden omgevingen te oogsten en de gestolen informatie te gebruiken als een opstap om de volgende fase, Tidrone, te informeren op stroomafwaartse klanten. De Tidrone -campagne is verspreid over drie fasen –
- Eerste toegang, die de gifcampagne weerspiegelt door zich te richten op serviceproviders om kwaadaardige code te injecteren en malware te distribueren naar stroomafwaartse klanten
- Command-and-control, dat gebruik maakt van een DLL-lader om CXCLNT en CLNTEND-backdoors te laten vallen
- Post-exploitatie, waarbij persistentie wordt ingesteld, escalerende privileges, het uitschakelen van antivirussoftware met behulp van TrueSightKiller en het installeren van een screenshot-capturing tool genaamd screencap met behulp van ClNTEND
“De kernfunctionaliteit van CXCLNT is afhankelijk van een modulair plug -insysteem. Bij uitvoering haalt het extra plug -ins op van zijn C&C -server om de mogelijkheden dynamisch uit te breiden,” zei Trend Micro. “Deze architectuur verdoezelt niet alleen het ware doel van de achterdeur tijdens statische analyse, maar maakt ook flexibele, on-demand bewerkingen mogelijk op basis van de doelstellingen van de aanvaller.”
Er wordt gezegd dat CXCLNT sinds minstens 2022 in aanvallen is gebruikt. Cltend, voor het eerst gedetecteerd in 2024, is de opvolger en wordt geleverd met een uitgebreide set functies om detectie te omzeilen.
Het verband tussen Venom en Tidrone komt voort uit gedeelde slachtoffers en dienstverleners en overlappende command-and-control infrastructuur, wat aangeeft dat een gemeenschappelijke dreigingsacteur achter beide campagnes zit. Trend Micro zei dat de tactieken, technieken en procedures van de hackingploeg (TTP’s) lijken op die welke worden gebruikt door een andere Chinese natiestaat Hacking Group gevolgd als Dalbit (aka M00nlight), suggererend voor een gedeelde toolkit.
“Deze progressie onderstreept een opzettelijke strategie: begin breed met goedkope, laag risico-tools om toegang te vestigen en draai vervolgens naar op maat gemaakte mogelijkheden voor meer gerichte en impactvolle intrusies,” zeiden de onderzoekers. “Inzicht in dit operationele patroon zal van cruciaal belang zijn bij het voorspellen en verdedigen tegen toekomstige bedreigingen van deze acteur.”
Japan en Taiwan gericht op Swan Vector
De openbaarmaking komt wanneer seqrite laboratoria details onthulden van een cyberspionage-campagne genaamd Swan Vector die zich richt op educatieve instituten en de machinebestrijdingsindustrie in Taiwan en Japan met nep CV-kunstaas verspreid via speer-phishing-e-mails om een Dll-implantaat genaamd PTEROIS te leveren, dat vervolgens wordt gebruikt om de Cobalt Strike ShellCode te downloaden.
Pterois is ook ontworpen om te downloaden van Google Drive, een andere malware die Isurus wordt genoemd die vervolgens verantwoordelijk is voor het uitvoeren van de kobaltstaking na het exponitatie-framework. De campagne is toegeschreven aan een Oost -Aziatische dreigingsacteur met medium vertrouwen.
“De dreigingsacteur is gevestigd uit Oost-Azië en is sinds december 2024 actief gericht op meerdere opwerving gebaseerde entiteiten in Taiwan en Japan,” zei Subhajeet Singha Subhajeet Singha.
“De dreigingsacteur vertrouwt op aangepaste ontwikkeling van implantaten, bestaande uit downloader, shellcode-loaders en kobaltstaking als hun belangrijkste tools met sterk afhankelijk van meerdere ontwijkingstechnieken zoals API hashing, direct-syscalls, functie callback, DLL side-loading en zelf-deletion om te voorkomen dat er een soort sporen op de doelmachine achterblijven.”
