Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ кампаний Earth Ammit: угроза цепочкам поставок и военной сфере

3 мин
Хакер под псевдонимом Earth Ammit, ассоциируемый с китайскоязычными APT-группами, в 2023–2024 годах осуществил две масштабные кибератаки — кампании VENOM и TIDRONE. Их целью стали ключевые звенья цепочек поставок в секторе беспилотных летательных аппаратов (UAV) и военной промышленности. Отчет показывает, как злоумышленники адаптировали свои методы для проникновения в верхние уровни цепочки поставок, обеспечивая доступ к стратегически важным объектам. Кампания VENOM была направлена преимущественно на поставщиков программного обеспечения, что позволило атакующим внедрить вредоносный код в легитимные продукты. Напротив, TIDRONE сосредоточилась на военной и спутниковой отраслях, применяя более целенаправленные и сложные методы проникновения. Пострадавшими в основном стали предприятия Тайваня и Южной Кореи, включая организации военного, технологического, медицинского и программного секторов. Исследование выявило две основные тактики злоумышленников: Данный подход демонстрирует изменяющуюся
Оглавление
Источник: www.trendmicro.com
Источник: www.trendmicro.com

Киберугроза в беспилотных системах и военной промышленности: анализ кампаний Earth Ammit

Хакер под псевдонимом Earth Ammit, ассоциируемый с китайскоязычными APT-группами, в 2023–2024 годах осуществил две масштабные кибератаки — кампании VENOM и TIDRONE. Их целью стали ключевые звенья цепочек поставок в секторе беспилотных летательных аппаратов (UAV) и военной промышленности. Отчет показывает, как злоумышленники адаптировали свои методы для проникновения в верхние уровни цепочки поставок, обеспечивая доступ к стратегически важным объектам.

Основные направления атак: VENOM и TIDRONE

Кампания VENOM была направлена преимущественно на поставщиков программного обеспечения, что позволило атакующим внедрить вредоносный код в легитимные продукты. Напротив, TIDRONE сосредоточилась на военной и спутниковой отраслях, применяя более целенаправленные и сложные методы проникновения.

  • VENOM: Использование инструментов с открытым исходным кодом (Open Source) для снижения издержек и обхода систем обнаружения.
  • TIDRONE: Переход к специализированным инструментам — CXCLNT и CLNTEND, разработанным для более скрытного и модульного выполнения задач.

Пострадавшими в основном стали предприятия Тайваня и Южной Кореи, включая организации военного, технологического, медицинского и программного секторов.

Техника атак на цепочки поставок

Исследование выявило две основные тактики злоумышленников:

  • Традиционное внедрение вредоносного кода — модификация или подмена компонентов программного обеспечения для поставки зараженных файлов.
  • Использование доверенных каналов коммуникации — распространение вредоносного ПО через легитимные связи между поставщиками, даже в случае отсутствия возможности изменения самих программных артефактов.

Данный подход демонстрирует изменяющуюся динамику угроз и подчеркивает необходимость постоянного контроля целостности ПО и проверки сетевых связей.

Вход в сеть и последующие действия злоумышленников

Первоначальный доступ в кампании TIDRONE зачастую обеспечивался через эксплуатацию уязвимостей веб-серверов, позволяющих развертывать веб-оболочки (web shells). После закрепления присутствия злоумышленники использовали Open Source Remote Access Tools (RAT) для поддержания устойчивого контроля.

Особое внимание уделялось кражам конфиденциальных учетных данных. Скомпрометированные среды позволяли извлекать данные NTDS (активного каталога), что облегчало дальнейшее продвижение по нижестоящим системам клиентов.

Инструменты и методы скрытности: CXCLNT и CLNTEND

Зловреды Earth Ammit функционировали исключительно в оперативной памяти, минимизируя следы своего присутствия:

  • CXCLNT — модульная архитектура, которая динамически загружала дополнительные компоненты с серверов Command and Control (C2) для выполнения разнообразных вредоносных операций.
  • CLNTEND — более продвинутый вариант с двухрежимной функциональностью и механизмами защиты от обнаружения, включая инъекцию DLL в легитимные процессы для обхода систем безопасности.

Недавние исследования выявили использование технологий на основе оптоволокна, таких как преобразование потоков в волокна (fiber-based stealth techniques), позволяющих скрывать выполнение вредоносного кода от систем мониторинга.

Стратегический сдвиг и рекомендации по защите

Анализ свидетельствует о переходе от использования общедоступных инструментов к разработке и применению специализированного вредоносного ПО, что указывает на тщательно продуманную тактику установления первоначального доступа и глубокой компрометации целей.

Для снижения рисков организаций рекомендуется:

  • Внедрять стороннее управление рисками и контроль доверия в цепочках поставок.
  • Применять строгие политики подписи кода и мониторинг поведения ПО.
  • Обеспечивать своевременное обновление и исправление уязвимостей.
  • Использовать архитектуру Zero Trust для постоянной аутентификации и авторизации всех сетевых взаимодействий.
  • Внедрять расширенный мониторинг использования API, особенно связанных с оптоволоконными технологиями, для выявления аномалий.

Понимание и изучение тактик, техник и процедур Earth Ammit имеет ключевое значение для предотвращения будущих кибератак аналогичного масштаба и сложности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ кампаний Earth Ammit: угроза цепочкам поставок и военной сфере".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются