Earth Ammit olarak bilinen sofistike bir tehdit oyuncusu, öncelikle Tayvan’ın askeri ve uydu endüstrilerinde, drone tedarik zincirlerini hedefleyen koordineli çok dalga saldırıları başlattı.
Güvenlik araştırmacılarının Çince konuşan APT gruplarıyla bağlantılı olduğu grup, 2023 ve 2024 yılları arasında iki ayrı kampanya yürüttü ve taktik ve takımlarda askeri ve havacılık sektörleri için önemli riskler oluşturan bir evrim gösterdi.
.webp)
Venom olarak adlandırılan ilk dalga, web sunucusu güvenlik açıklarından web mermileri yükleyerek nüfuz eden yazılım servis sağlayıcılarına ve teknoloji şirketlerine odaklandı.
.png
)
Bu kampanya, ilişkilendirmeden kaçınırken uzlaşmış sistemlerde kalıcılığı korumak için açık kaynaklı araçlara dayanıyordu.
Bu ilk uzlaşmanın ardından, Earth Ammit, özellikle yukarı akış tedarik zinciri aracılığıyla askeri endüstri kuruluşlarına yönelik Tidrone adlı daha hedefli bir ikinci dalgaya döndü.
Bu saldırıların kurbanları öncelikle Tayvan ve Güney Kore’den kaynaklandı ve askeri, uydu, ağır endüstri, medya, teknoloji, yazılım hizmetleri ve sağlık sektörlerindeki organizasyonları etkiledi.
Bu tedarik zinciri saldırıları sayesinde Earth AMMIT, aşağı yönlü müşterileri hedeflemek için konumlandırdı ve saldırganların yüksek değerli askeri varlıklara ulaşmasını sağlayan bir dalgalanma etkisi yarattı.
Trend mikro araştırmacılar, Earth Ammit’in operasyonlarının, iki farklı saldırı yolu kullanan tedarik zinciri güvenlik açıkları hakkında sofistike bir anlayış gösterdiğini belirlediler: kötü amaçlı kodları meşru yazılıma enjekte eden klasik tedarik zinciri saldırıları ve yazılım artefaktlarını değiştirmeden kötü amaçlı yazılımları dağıtmak için güvenilir iletişim kanallarından yararlanan genel tedarik zinciri saldırıları.
Grubun uzun vadeli hedefi, hassas askeri teknolojiye, özellikle de savunma uygulamalarında kullanılan drone sistemlerine erişmek için güvenilir ağlara sızıyor gibi görünüyor.
Bu saldırılarda tehlikeye atılan kuruluşlar, kimlik bilgisi hırsızlığı, veri açığa çıkma ve ağlarına yetkisiz erişim riskleri ile karşı karşıyadır.
Kötü amaçlı yazılım cephaneliğinin evrimi
Earth Ammit’in faaliyetlerinin en ilgili yönü, kötü amaçlı yazılım yeteneklerindeki hızlı evrimidir. İlk olarak 2024’te gözlemlenen clntend arka kapısı, selefi CXCLNT üzerinde önemli bir ilerlemeyi temsil ediyor.
.webp)
Her ikisi de tespitten kaçınmak için tamamen bellekte yürütülürken, Clnend bir EXE yerine bir DLL olarak çalışır ve CXCLNT’nin ikisine kıyasla yedi iletişim protokolünü destekler.
Clnend’i özellikle sofistike yapan şey, lif bazlı kaçırma tekniklerinin uygulanmasıdır. Bu teknikler, güvenlik çözümlerinden kötü niyetli etkinlikleri gizlemek için Windows Fiber API işlevlerinden yararlanır.
.webp)
Aşağıdaki yakalanan kod örneğinde görüldüğü gibi, kötü amaçlı yazılım, kodu tespit edilmesi zor bir şekilde yürütmek için ConvertThreadTofiber ve CreateFiber gibi işlevleri kullanır:-
hModule = hinstDLL;
ModuleHandleA = GetModuleHandleA(0);
dword_10013300 = *(_DWORD *)((char *)ModuleHandleA + *((_DWORD *)ModuleHandleA + 15) + 40);
lpFiber = ConvertThreadToFiber(0);
Fiber = (char *)CreateFiber(0, (LPFIBER_START_ROUTINE)StartAddress, 0);
dword_100132C4 = (int)Fiber;
*(_DWORD *)&Fiber[(dword_10013300 ^ 0x10EC) + 196] = (char *)sub_10001480 + (dword_10013300 ^ 0x10EC);
SwitchToFiber(Fiber);Tehdit oyuncusu ayrıca, XOR kontrolleri ve analiz girişimlerini önleyen yürütme siparişi bağımlılıkları ile GetMoDuleHandle aracılığıyla giriş noktası doğrulaması da dahil olmak üzere birden fazla anti-analiz önlemi uyguladı.
Buna ek olarak, grup, kurbanların ekranlarını yakalayarak ve bunları komuta ve kontrol sunucularına geri göndererek casusluk yapmak için açık kaynaklı koddan uyarlanmış ScreAnpap adlı bir ekran yakalama aracı dağıtır.
Dosya derleme ve komut yürütme günlüklerinden gelen zaman damgaları GMT+8 zaman dilimi ile uyumludur ve saldırganın taktikleri, daha önce Ahnlab tarafından bildirilen bir tehdit grubu olan Dalbit tarafından kullanılanlara benzerlik taşır.
Kuruluşlar, üçüncü taraf risk yönetimi programlarını uygulayarak, fiberle ilgili API kullanımını izleyerek, EDR çözümlerini güçlendirerek ve her bağlantıyı doğrulamak için sıfır güven mimarisini benimseyerek kendilerini koruyabilir.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers