摘要

Earth Ammit是一个与中文APT组织有关联的威胁行为体，在2023-2024年发动了两波攻击。第一波VENOM主要针对软件服务提供商，第二波TIDRONE针对军事工业。在VENOM行动中，攻击者重点渗透无人机供应链上游。

攻击活动分析

VENOM行动

• 主要依赖开源工具（成本低且难以追踪）
• 使用定制化工具VENFRPC（配置直接嵌入文件）
• 通过Webshell初始访问，使用开源代理工具维持持久性
• 窃取NTDS数据用于下游攻击

TIDRONE行动

• 使用定制化后门CXCLNT和CLNTEND
• 采用光纤技术（FlsAlloc等）规避检测
• 通过供应链攻击传播（图3展示两种供应链攻击路径）
• 执行权限提升、持久化、凭证窃取等后期攻击行为

技术演进

• 加载器技术从ConvertThreadToFiber发展到FlsAlloc和异常处理
• 后门从CXCLNT（EXE内存加载）演进到CLNTEND（DLL形式）
• 新增反分析技术：入口点验证和执行顺序依赖

防御建议

• 实施第三方风险管理计划
• 强制代码签名
• 监控光纤相关API使用
• 采用零信任架构
• 加强EDR和行为监控

趋势科技Vision One平台可检测和阻止相关恶意活动，客户可通过威胁情报报告获取最新IOC和狩猎查询。