Earth Ammit olarak bilinen bir siber casusluk grubu, Tayvan ve Güney Kore’de askeri, uydu, ağır endüstri, medya, teknoloji, yazılım hizmetleri ve sağlık sektörleri de dahil olmak üzere çeşitli varlıkları hedefleyen 2023-2024 yılları arasında iki ilgili ancak farklı kampanyayla bağlantılıdır.
Siber güvenlik firması Trend Micro, ilk dalganın, çoğunlukla yazılım hizmet sağlayıcılarını hedefleyen Venom adlı, Tidrone olarak adlandırılan ikinci dalga askeri endüstriyi seçtiğini söyledi. Earth AMMIT’in Çince konuşan ulus devlet gruplarına bağlı olduğu değerlendirilir.
Güvenlik araştırmacıları Pierre Lee, Vickie Su ve Philip Chen, “Venom kampanyasında Earth Ammit’in yaklaşımı, drone tedarik zincirinin yukarı akış bölümüne nüfuz etmeyi içeriyordu.” Dedi. “Earth Ammit’in uzun vadeli hedefi, tedarik zinciri saldırıları yoluyla güvenilir ağları tehlikeye atmak, bu da yüksek değerli varlıkları aşağı akış yönünde hedeflemelerine ve erişimlerini artırmalarına izin vermektir.”
Tidrone kampanyası ilk olarak geçen yıl trend micro tarafından ortaya çıktı ve kümenin Tayvan’daki drone üreticilerine yapılan saldırılarını CXCLNT ve CLNTEND gibi özel kötü amaçlı yazılımlar sunmak için detaylandırdı. Aralık 2024’te Ahnlab’dan sonraki bir rapor, Clnend’in Güney Koreli şirketlere karşı kullanımını detaylandırdı.
Saldırılar, drone tedarik zincirini hedeflemek ve askeri ve uydu endüstrilerini ihlal etmek için Kurumsal Kaynak Planlama (ERP) yazılımından yararlanmak için dikkat çekicidir. Seçim olayları, kötü amaçlı yükleri dağıtmak için uzaktan izleme veya BT yönetim araçları gibi güvenilir iletişim kanallarının kullanımını da içermektedir.
Venom kampanyası, trend mikro başına, web kabuklarını bırakmak için web sunucusu güvenlik açıklarının kullanımı ile karakterize edilir ve daha sonra uzlaşmış ana bilgisayarlara kalıcı erişim için uzaktan erişim araçlarını (sıçan) yüklemeye erişimi silahlandırır. Saldırılarda Revsock ve Şerit gibi açık kaynaklı araçların kullanılması, ilişkilendirme çabalarını bulutlamak için kasıtlı bir girişim olarak görülüyor.
Venom kampanyasında gözlemlenen tek ısmarlama kötü amaçlı yazılım, FRPC’nin özelleştirilmiş bir sürümü olan VenfrPC’dir, bu da kendi içinde açık kaynaklı hızlı ters proxy (FRP) aracının değiştirilmiş bir versiyonudur.
Kampanyanın nihai amacı, ihlal edilen ortamlardan kimlik bilgilerini toplamak ve çalınan bilgileri, aşağı akış müşterilerini hedefleyen bir sonraki aşama olan Tidrone’yi bilgilendirmek için bir adım taşı olarak kullanmaktır. Tidrone kampanyası üç aşamaya yayıldı –
- Servis sağlayıcıları kötü amaçlı kod enjekte etmeyi ve kötü amaçlı yazılımları aşağı akış müşterilerine dağıtmayı hedefleyerek Venom kampanyasını yansıtan ilk erişim
- CXCLNT ve CLNTEND BACKDOORS’u düşürmek için bir DLL yükleyici kullanan komut ve kontrol
- Kalıcının oluşturulmasını, artan ayrıcalıkları, TruesightKiller kullanarak antivirüs yazılımını devre dışı bırakmayı ve CLNTEND kullanarak bir ekran görüntüsü yakalama aracı kurma ile ilgili sisonlama sonrası
Trend Micro, “CXCLNT’nin temel işlevselliği modüler bir eklenti sistemine bağlıdır. Yürütme üzerine, yeteneklerini dinamik olarak genişletmek için C&C sunucusundan ek eklentiler alır.” Dedi. “Bu mimari sadece statik analiz sırasında arka kapının gerçek amacını gizlemekle kalmaz, aynı zamanda saldırganın hedeflerine dayalı esnek, isteğe bağlı operasyonlar da sağlar.”
CXCLNT’in en az 2022’den beri saldırılarda kullanıldığı söyleniyor. İlk olarak 2024’te tespit edilen Clntend, halefidir ve sınırlama algılaması için genişletilmiş bir dizi özellik ile birlikte gelir.
Venom ve Tidrone arasındaki bağlantı, ortak kurbanlardan ve hizmet sağlayıcılarından ve örtüşen komuta ve kontrol altyapısından kaynaklanıyor ve bu da ortak bir tehdit oyuncusunun her iki kampanyanın arkasında olduğunu gösteriyor. Trend Micro, hack ekibinin taktiklerinin, tekniklerinin (TTP’ler) (TTP’ler), paylaşılan bir araç setini düşündüren Dalbit (M00LIGHT) olarak izlenen başka bir Çin ulus-devlet hack grubu tarafından kullanılanlara benzediğini söyledi.
Araştırmacılar, “Bu ilerleme kasıtlı bir stratejinin altını çiziyor: Erişim sağlamak için düşük maliyetli, düşük riskli araçlarla geniş başlayın, daha sonra daha hedefli ve etkili müdahaleler için özel özelliklere dönün.” Dedi. Diyerek şöyle devam etti: “Bu operasyonel modeli anlamak, bu aktörün gelecekteki tehditlerini tahmin etmek ve savunmak için kritik olacaktır.”
Swan Vector tarafından hedeflenen Japonya ve Tayvan
Açıklama, Seqrite Labs, daha sonra Pterois adlı bir DLL implantı sunmak için mızrak-akhar e-postaları ile dağıtılan, Tayvan ve Japonya’daki Makine Mühendisliği endüstrisini hedefleyen Swan Vector adlı bir siber casusluk kampanyasının ayrıntılarını açıkladı.
Pterois ayrıca Google Drive’dan indirmek üzere tasarlanmıştır. Isurus olarak adlandırılan başka bir kötü amaçlı yazılım, daha sonra kobalt grev sonrası çerçevenin yürütülmesinden sorumludur. Kampanya, orta güvenle bir Doğu Asya tehdit oyuncusuna atfedildi.
Güvenlik araştırmacısı Subhajeet Singha, “Tehdit oyuncusu Doğu Asya dışına çıkıyor ve Aralık 2024’ten bu yana Tayvan ve Japonya’da çok sayıda işe alım tabanlı varlığı hedefleyen aktif.” Dedi.
“Tehdit oyuncusu, API hashing, doğrudan syscalls, fonksiyon geri çağrısı, DLL yan yükleme ve hedef makinede herhangi bir türden ayrılmaktan kaçınmak için çok sayıda kaçaklama tekniğine dayanarak, indirici, kabuklu yükleyiciler ve kobalt grevinden oluşan implantların özel gelişimine güveniyor.”