Çince konuşan APT’lerle ilişkili olduğuna inanılan Dünya Ammit olarak bilinen tehdit oyuncusu grubu, Doğu Asya’daki askeri ve endüstriyel sektörler için önemli bir endişe olarak ortaya çıktı.
Bu grup, Tayvan ve Güney Kore’yi hedefleyen iki farklı kampanya-venom ve Tidrone’yi düzenledi.
Tedarik zinciri infiltrasyonuna odaklanmaları, özellikle drone ve askeri endüstrilerde, yüksek değerli aşağı akış hedeflerini tehlikeye atmak için stratejik bir niyetin altını çizmektedir.
.png
)
Earth Ammit’in Venom kampanyası, yukarı akış yazılım servis sağlayıcılarını sıfırladı, web sunucusu güvenlik açıklarından yararlandı ve kalıcılığı korumak ve atıftan kaçınmak için proxy yardımcı programları ve uzaktan erişim truva atları (sıçanlar) gibi açık kaynaklı araçları dağıttı.
Drone tedarik zincirine nüfuz ederek, kendilerini bağlı ekosistemler üzerindeki kötü niyetli etkileri dalgalandırmak için konumlandırdılar.
Tedarik zinciri saldırıları tanıtıldı
Temmuz 2024’te açıklanan Tidrone kampanyası, Tayvan’ın askeri ve uydu sektörlerinde siber boyama için uyarlanmış, Dünya Ammisi Cxclnt ve Clntend de dahil olmak üzere özel olarak inşa edilmiş kötü amaçlı yazılımlara geçerken taktik bir evrimi işaret etti.
Venom’daki açık kaynaklı araçlara güvenmenin aksine, Tidrone, son Black Hat konferansı tartışmalarından esinlenerek Convertthreadtofiber ve Flsalloc gibi sofistike fiber bazlı kaçırma tekniklerini tanıttı.
Trend Micro Report’a göre, bu yöntemler, giriş noktası doğrulama ve yürütme siparişi bağımlılıkları gibi anti-analiz hilelerinin yanı sıra, konut içi yürütmenin geleneksel son nokta algılama ve yanıt (EDR) sistemlerini atlamasına izin verdi.
CXCLNT’nin gelişmiş bir halefi olan Clnend, HTTP, TLS ve WebSocket dahil olmak üzere çeşitli iletişim protokollerini destekleyen gizli gizliliği geliştirirken, Dllhost.exe gibi meşru Windows süreçlerine süreç enjeksiyonu gibi anti-EDR özellikleri dahil edildi.
Ayrıca, Screencap gibi araçlar ekran görüntüsü eksfiltrasyonu, tehlike altındaki ağlar arasında veri hırsızlığı özelliklerini yükseltti.
Tidrone kampanyasında kötü amaçlı yazılım arsenal
Earth Ammit’in ikili kampanyaları hem klasik hem de genel tedarik zinciri saldırısı vektörlerinden yararlandı.
Klasik yaklaşımda, kötü niyetli kodlar meşru yazılım güncellemelerine enjekte edilirken, genel yöntem yazılım artefaktlarını değiştirmeden yanal hareket için güvenilir iletişim kanallarından yararlandı.
Mağdur verileri, Tayvan ve Güney Kore üzerindeki yoğun bir etkiyi vurgulamakta ve ağır sanayiden sağlık hizmetlerine kadar sektörleri etkilemekte ve askeri ile ilgili tedarikçilere ve drone satıcılarına açık bir vurgu yapmaktadır.
Paylaşılan kurbanlar ve örtüşen komuta ve kontrol (C&C) altyapısı, fuckeyaveryday gibi alanlar dahil[.]Hayat, Venom ve Tidrone arasındaki bağlantıyı onaylayın, tek bir varlık tarafından koordineli bir operasyona işaret edin.
GMT+8 zaman damgası ve Dalbit Tehdit Grubu’nun taktiklerine benzerlik gibi ilişkilendirme göstergeleri, Çince konuşan bir kökene işaret ediyor, ancak kesin bağlar doğrulanmadı.
Kuruluşlar için çıkarımlar keskindir. Tedarik zinciri güvenlik açıkları, her bağlantıyı doğrulamak için titiz üçüncü taraf risk yönetimi, kod imzalama uygulama ve sıfır güven mimarisinin benimsenmesi yoluyla ele alınmalıdır.
EDR çözümlerinde fiberle ilişkili API kullanımının izlenmesi ve davranışsal tespitin arttırılması, kaçaklama tekniklerine karşı koyma için kritik öneme sahiptir.
Earth Ammit, trend Vision One gibi çözümlerin sunduğu gibi ısmarlama kötü amaçlı yazılım-proaktif savunma önlemleri ve sürekli tehdit istihbarat güncellemeleri için düşük maliyetli açık kaynaklı araçlardan rafine etmeye devam ettikçe, güvenilir ağları ve hassas endüstrileri hedefleyen bu kalıcı ve gelişen siber tehditlere karşı korunmak için hayati önem taşıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!