Một nhóm gián điệp mạng có tên Earth Ammit đã được liên kết với hai chiến dịch có liên quan nhưng riêng biệt từ năm 2023 đến năm 2024 nhắm vào nhiều thực thể khác nhau ở Đài Loan và Hàn Quốc, bao gồm quân đội, vệ tinh, công nghiệp nặng, truyền thông, công nghệ, dịch vụ phần mềm và chăm sóc sức khỏe.
Công ty an ninh mạng Trend Micro cho biết đợt đầu tiên, có tên mã là VENOM, chủ yếu nhắm vào các nhà cung cấp dịch vụ phần mềm, trong khi đợt thứ hai, được gọi là TIDRONE, nhắm vào ngành công nghiệp quân sự. Earth Ammit được đánh giá là có liên quan đến các nhóm quốc gia nói tiếng Trung Quốc.
"Trong chiến dịch VENOM, cách tiếp cận của Earth Ammit liên quan đến việc thâm nhập vào phân khúc thượng nguồn của chuỗi cung ứng máy bay không người lái", các nhà nghiên cứu bảo mật Pierre Lee, Vickie Su và Philip Chen cho biết . "Mục tiêu dài hạn của Earth Ammit là xâm phạm các mạng lưới đáng tin cậy thông qua các cuộc tấn công chuỗi cung ứng, cho phép chúng nhắm mục tiêu vào các thực thể có giá trị cao ở hạ nguồn và khuếch đại phạm vi tiếp cận của chúng".
Chiến dịch TIDRONE lần đầu tiên được Trend Micro vạch trần vào năm ngoái, nêu chi tiết các cuộc tấn công của nhóm này vào các nhà sản xuất máy bay không người lái ở Đài Loan để cung cấp phần mềm độc hại tùy chỉnh như CXCLNT và CLNTEND. Một báo cáo tiếp theo từ AhnLab vào tháng 12 năm 2024 đã nêu chi tiết việc sử dụng CLNTEND chống lại các công ty Hàn Quốc.
Các cuộc tấn công đáng chú ý vì nhắm vào chuỗi cung ứng máy bay không người lái, tận dụng phần mềm lập kế hoạch nguồn lực doanh nghiệp (ERP) để xâm nhập vào các ngành công nghiệp quân sự và vệ tinh. Một số sự cố được chọn cũng liên quan đến việc sử dụng các kênh truyền thông đáng tin cậy - chẳng hạn như giám sát từ xa hoặc các công cụ quản lý CNTT - để phân phối các phần mềm độc hại.
Theo Trend Micro, chiến dịch VENOM được đặc trưng bởi việc khai thác các lỗ hổng của máy chủ web để thả các web shell, sau đó biến quyền truy cập thành vũ khí để cài đặt các công cụ truy cập từ xa (RAT) để truy cập liên tục vào các máy chủ bị xâm phạm. Việc sử dụng các công cụ nguồn mở như REVSOCK và Sliver trong các cuộc tấn công được coi là một nỗ lực cố ý nhằm quy kết các nỗ lực đám mây.
Phần mềm độc hại duy nhất được phát hiện trong chiến dịch VENOM là VENFRPC, một phiên bản tùy chỉnh của FRPC , bản thân FRPC là phiên bản đã sửa đổi của công cụ proxy ngược nhanh (FRP) nguồn mở.
Mục tiêu cuối cùng của chiến dịch là thu thập thông tin xác thực từ các môi trường bị xâm phạm và sử dụng thông tin bị đánh cắp làm bước đệm để thông báo cho giai đoạn tiếp theo, TIDRONE, nhắm vào các khách hàng hạ nguồn. Chiến dịch TIDRONE trải dài qua ba giai đoạn:
- Truy cập ban đầu, phản ánh chiến dịch VENOM bằng cách nhắm mục tiêu vào các nhà cung cấp dịch vụ để đưa mã Độc hại và phân phÔi phần mềm độC hại cho khách hàng hạ nguồn
- Lệnh và kiểm soát, sử dụng trình tải DLL để loại bỏ các cửa hậu CXCLNT và CLNTEND
- Hậu khai thác, bao gồm thiết lập tính bền bỉ, tăng đặc quyền, vô hiệu hóa phần mềm diệt vi-rút bằng TrueSightKiller và cài đặt công cụ chụp ảnh màn hình có tên là SCREENCAP bằng CLNTEND
"Chức năng cốt lõi của CXCLNT phụ thuộc vào hệ thống plugin mô-đun. Khi thực hiện, nó sẽ lấy các plugin bổ sung từ máy chủ C&C của mình để mở rộng khả năng của nó một cách năng động", Trend Micro cho biết. "Kiến trúc này không chỉ che giấu mục đích thực sự của backdoor trong quá trình phân tích tĩnh mà còn cho phép các hoạt động linh hoạt, theo yêu cầu dựa trên mục tiêu của kẻ tấn công".
Nhật Bản và Đài Loan là mục tiêu của Swan Vector
Tiết lộ này được đưa ra khi Seqrite Labs tiết lộ thông tin chi tiết về một chiến dịch gián điệp mạng có tên Swan Vector nhắm vào các học viện giáo dục và ngành công nghiệp cơ khí tại Đài Loan và Nhật Bản bằng cách phát tán sơ yếu lý lịch giả thông qua email lừa đảo để cài một chương trình DLL có tên là Pterois, sau đó được sử dụng để tải xuống mã lệnh Cobalt Strike.
Source: https://thehackernews.com/2025/05/earth-ammit-breached-drone-supply.html
Công ty an ninh mạng Trend Micro cho biết đợt đầu tiên, có tên mã là VENOM, chủ yếu nhắm vào các nhà cung cấp dịch vụ phần mềm, trong khi đợt thứ hai, được gọi là TIDRONE, nhắm vào ngành công nghiệp quân sự. Earth Ammit được đánh giá là có liên quan đến các nhóm quốc gia nói tiếng Trung Quốc.
"Trong chiến dịch VENOM, cách tiếp cận của Earth Ammit liên quan đến việc thâm nhập vào phân khúc thượng nguồn của chuỗi cung ứng máy bay không người lái", các nhà nghiên cứu bảo mật Pierre Lee, Vickie Su và Philip Chen cho biết . "Mục tiêu dài hạn của Earth Ammit là xâm phạm các mạng lưới đáng tin cậy thông qua các cuộc tấn công chuỗi cung ứng, cho phép chúng nhắm mục tiêu vào các thực thể có giá trị cao ở hạ nguồn và khuếch đại phạm vi tiếp cận của chúng".
Chiến dịch TIDRONE lần đầu tiên được Trend Micro vạch trần vào năm ngoái, nêu chi tiết các cuộc tấn công của nhóm này vào các nhà sản xuất máy bay không người lái ở Đài Loan để cung cấp phần mềm độc hại tùy chỉnh như CXCLNT và CLNTEND. Một báo cáo tiếp theo từ AhnLab vào tháng 12 năm 2024 đã nêu chi tiết việc sử dụng CLNTEND chống lại các công ty Hàn Quốc.
Các cuộc tấn công đáng chú ý vì nhắm vào chuỗi cung ứng máy bay không người lái, tận dụng phần mềm lập kế hoạch nguồn lực doanh nghiệp (ERP) để xâm nhập vào các ngành công nghiệp quân sự và vệ tinh. Một số sự cố được chọn cũng liên quan đến việc sử dụng các kênh truyền thông đáng tin cậy - chẳng hạn như giám sát từ xa hoặc các công cụ quản lý CNTT - để phân phối các phần mềm độc hại.
Theo Trend Micro, chiến dịch VENOM được đặc trưng bởi việc khai thác các lỗ hổng của máy chủ web để thả các web shell, sau đó biến quyền truy cập thành vũ khí để cài đặt các công cụ truy cập từ xa (RAT) để truy cập liên tục vào các máy chủ bị xâm phạm. Việc sử dụng các công cụ nguồn mở như REVSOCK và Sliver trong các cuộc tấn công được coi là một nỗ lực cố ý nhằm quy kết các nỗ lực đám mây.
Phần mềm độc hại duy nhất được phát hiện trong chiến dịch VENOM là VENFRPC, một phiên bản tùy chỉnh của FRPC , bản thân FRPC là phiên bản đã sửa đổi của công cụ proxy ngược nhanh (FRP) nguồn mở.
Mục tiêu cuối cùng của chiến dịch là thu thập thông tin xác thực từ các môi trường bị xâm phạm và sử dụng thông tin bị đánh cắp làm bước đệm để thông báo cho giai đoạn tiếp theo, TIDRONE, nhắm vào các khách hàng hạ nguồn. Chiến dịch TIDRONE trải dài qua ba giai đoạn:
- Truy cập ban đầu, phản ánh chiến dịch VENOM bằng cách nhắm mục tiêu vào các nhà cung cấp dịch vụ để đưa mã Độc hại và phân phÔi phần mềm độC hại cho khách hàng hạ nguồn
- Lệnh và kiểm soát, sử dụng trình tải DLL để loại bỏ các cửa hậu CXCLNT và CLNTEND
- Hậu khai thác, bao gồm thiết lập tính bền bỉ, tăng đặc quyền, vô hiệu hóa phần mềm diệt vi-rút bằng TrueSightKiller và cài đặt công cụ chụp ảnh màn hình có tên là SCREENCAP bằng CLNTEND
"Chức năng cốt lõi của CXCLNT phụ thuộc vào hệ thống plugin mô-đun. Khi thực hiện, nó sẽ lấy các plugin bổ sung từ máy chủ C&C của mình để mở rộng khả năng của nó một cách năng động", Trend Micro cho biết. "Kiến trúc này không chỉ che giấu mục đích thực sự của backdoor trong quá trình phân tích tĩnh mà còn cho phép các hoạt động linh hoạt, theo yêu cầu dựa trên mục tiêu của kẻ tấn công".
Nhật Bản và Đài Loan là mục tiêu của Swan Vector
Tiết lộ này được đưa ra khi Seqrite Labs tiết lộ thông tin chi tiết về một chiến dịch gián điệp mạng có tên Swan Vector nhắm vào các học viện giáo dục và ngành công nghiệp cơ khí tại Đài Loan và Nhật Bản bằng cách phát tán sơ yếu lý lịch giả thông qua email lừa đảo để cài một chương trình DLL có tên là Pterois, sau đó được sử dụng để tải xuống mã lệnh Cobalt Strike.
Source: https://thehackernews.com/2025/05/earth-ammit-breached-drone-supply.html
Last edited:
