Earth Ammit通过协调多波攻击破坏台湾无人机供应链 | 趋势科技(美国)
摘要
Earth Ammit是一个与中文APT组织相关的威胁行为者,在2023年至2024年期间发动了两波攻击活动。第一波VENOM主要针对软件服务提供商,第二波TIDRONE主要针对军事工业。在VENOM活动中,Earth Ammit的方法涉及渗透无人机供应链的上游环节。
在VENOM活动中,威胁行为者主要依赖开源工具,因为成本低且难以追踪。在TIDRONE活动中,他们转向使用定制工具如CXCLNT和CLNTEND进行网络间谍活动。
TIDRONE和VENOM活动的受害者主要来自台湾和韩国,影响多个行业包括军事、卫星、重工业、媒体、技术、软件服务和医疗保健部门。Earth Ammit的长期目标是通过供应链攻击破坏可信网络,从而针对下游高价值实体并扩大其影响范围。遭受这些攻击的组织还面临数据盗窃风险,包括凭证和屏幕截图的泄露。
组织可以通过管理第三方风险、强制执行代码签名、监控软件行为和光纤相关API使用、应用补丁、分割供应商系统、采用零信任架构以及加强EDR和行为监控来缓解供应链和基于光纤的攻击。
Earth Ammit双重活动的恶意元素被Trend Vision One™检测和阻止。客户还可以访问狩猎查询、威胁洞察和威胁情报报告,以获取关于Earth Ammit的丰富背景和最新更新。
活动分析
VENOM活动
根据我们的遥测数据,攻击者在初始访问阶段利用Web服务器漏洞并上传Web shell。这种方法允许攻击者进入受害者侧的服务器。成功入侵后,攻击者进入命令和控制阶段。他们使用开源代理工具和远程访问工具(RAT)在系统中保持持久性。如前所述,攻击者更喜欢使用开源工具而不是自己的恶意软件,这一特性通过隐藏其活动来防止归因。
一旦在受害者机器上建立了持久性,他们的下一个目标是从环境中窃取凭证。在这个阶段,他们针对受害者的NTDS数据。这些数据被用来破坏下一阶段,即下游客户,这与TIDRONE活动相关。
TIDRONE活动
TIDRONE活动的感染链分为三个部分。
初始访问 最初,攻击者针对服务提供商,执行恶意代码注入并通过可信渠道向下游客户分发恶意软件,就像在VENOM活动中一样。整个过程作为TIDRONE活动的初始访问阶段。
命令和控制 在第二阶段,威胁行为者传播定制的后门进行网络间谍活动。我们的研究假设相同的加载器可以加载两种不同的有效载荷,即后门CXCLNT和CLNTEND。
后期利用 表1显示了在受害者环境中观察到的活动和相关日志。在整个过程中,威胁行为者主要执行这些行为。
| 行为 | 相关日志和描述 |
|---|---|
| 权限提升 | 执行UAC绕过并使用Winlogon进程令牌重新启动进程 |
| 持久性 | 运行计划任务;替换选定目录中具有自动运行功能的合法可执行文件 |
| 凭证转储 | 通过mimikatz执行一系列常规命令转储凭证 |
| 禁用防病毒软件 | TrueSightKiller工具终止AV和EDR进程 |
| 安装并运行定制工具收集受害者信息 | main.exe是通过CLNTEND后门通过远程shell下载和安装的屏幕截图工具 |
恶意软件分析
VENOM活动工具集
在VENOM活动中,我们观察到攻击者更喜欢使用开源工具而不是自己的定制工具来隐藏其足迹(图8)。只有一个定制工具叫做VENFRPC。这可能是归因于攻击者的一个强烈特征。
TIDRONE活动工具集
对于TIDRONE活动的武器库,它使用了许多定制工具,如CXCLNT、CLNTEND和SCREENCAP(图9)。
黑客工具 - VENFRPC
在VENOM活动中,我们观察到一个定制的FRPC叫做VENFRPC,它与我们在GitHub上通常看到的有轻微不同,因为配置直接嵌入到文件本身中。从这个配置格式中,我们可以看到攻击者倾向于使用受害者的识别细节来更容易识别他们的目标。
CXCLNT/CLNTEND加载器
自我们之前的报告以来,我们观察到攻击的进一步演变。2023年,攻击者开始在他们的恶意软件中使用基于光纤的技术SwitchToFiber。2024年,加载器切换到另一种基于光纤的技术FlsAlloc(图11)。同年晚些时候,异常处理技术也出现在恶意软件中。
根据我们的遥测数据,我们确定了三个不同版本的加载器。
变体A - ConvertThreadToFiber 在这个变体中,应用API ConvertThreadToFiber将当前线程转换为光纤,并允许它切换到其他光纤。然后,CreateFiber将在同一线程内创建一个新的光纤。恶意代码放置在光纤结构偏移+0xC4(十六进制)处。最后,SwitchToFiber切换到新光纤并运行恶意代码(图12)。
变体B - FlsAlloc FlsAlloc注册光纤对象的回调函数。当对象被释放或删除时,回调函数将被触发并执行恶意代码(图13)。
变体C - 异常 该技术利用异常处理程序,当异常被触发时,自定义处理程序函数内的恶意代码将被执行。
反分析
除了基于光纤的技术外,在加载器演变中还观察到两种有趣的反分析技术。
技术1 - 通过GetModuleHandle和XOR检查进行入口点验证 这种反分析技术使用GetModuleHandle检索当前进程的信息。然后,与特定字节进行异或检查入口点是否与预期的目标进程匹配(图16)。
技术2 - 执行顺序依赖挫败分析尝试 这种反分析技术需要正确的顺序来执行导出函数(图17)。由于此加载器将其解密函数和有效载荷执行分发到不同的导出函数中,如果导出函数的运行顺序错误或使用rundll32.exe执行特定导出函数,进程将失败。
CXCLNT后门
我们的遥测数据表明,CXCLNT后门至少从2022年开始应用。值得注意的是,它完全在内存中以EXE格式运行,从不将自己写入磁盘,这增强了其隐蔽性并使检测 significantly more challenging。对于通信,它支持两种流量解析方法:通过SSL的自定义协议和标准HTTPS,允许其混入合法的加密流量。
CXCLNT的核心功能依赖于模块化插件系统。执行时,它从其C&C服务器检索其他插件以动态扩展其功能。这种架构不仅在静态分析期间模糊了后门的真实目的,而且还支持基于攻击者目标的灵活、按需操作。
后门命令 CXCLNT的命令集分为两种主要类型:常规和插件操作
常规操作 表2中显示的命令涵盖了其他恶意软件中常见的基本后门功能,例如系统侦察、更新嵌入式配置以及在受感染主机上执行shell命令。
| 后门命令 | 行为 |
|---|---|
| 0x1001 | 向C&C服务器发送受害者信息 |
| 0x1002 | 关闭后门 |
| 0x1003 | 设置事件并关闭后门 |
| 0x1004 | 从C&C服务器接收shellcode |
| 0x1005 | 清除足迹 |
| 0x1006 | 更新C&C服务器 |
插件操作 CXCLNT支持运行时插件安装,允许C&C服务器根据需要部署专用模块。这些插件可以临时扩展后门的功能,并在任务完成后完全移除(表3)。这种基于插件的设计支持广泛的恶意操作,同时最小化后门的静态足迹。
| 后门命令 | 行为 |
|---|---|
| 0x2001 | 接收插件大小 |
| 0x2002 | 接收插件有效载荷 |
| 0x2003 | 加载插件并将函数写入后门命令:0x2004-0x2007 |
| 0x2004 | 未知 |
| 0x2005 | 调用插件的导出函数:Init |
| 0x2006 | 调用插件的导出函数:DeleteInstance |
| 0x2007 | 调用插件的导出函数:GetInstance |
CLNTEND后门
CLNTEND于2024年首次观察到,是CXCLNT后门的进化后继者。与其前一个版本一样,CLNTEND完全在内存中执行以逃避检测,但它以DLL的形式交付。此版本实现了许多功能以适应各种攻击场景。CLNTEND的关键改进之一是其双模式设计——基于嵌入式配置支持客户端和服务器模式。它还支持更广泛的通信协议,包括:
- HTTP
- HTTPS
- SMB(端口445)
- TCP
- TLS
- UDP
- WebSocket
为了隐藏其足迹,CLNTEND还包括反检测功能,例如进程注入到合法的Windows进程dllhost.exe中,以及禁用EDR解决方案。
CLNTEND将其功能组织成三个主要命令类别:
- 链接 - 链接模块提供从七种连接方法中选择一种并在客户端和服务器之间交替后门模式的能力。
- 插件 - 插件操作与第一个版本CXCLNT类似,但只保留两个导出函数GetInstance和DeleteInstance。
- 会话 - 它将远程shell注入dllhost.exe。在我们观察到的一种行为中,我们看到命令在winword.exe下执行。在正常情况下,winword.exe很少直接执行cmd.exe,因此我们相信这种注入是一种用于逃避检测或提升权限的技术。
比较 - CXCLNT vs CLNTEND
CXCLNT和CLNTED的比较表如表4所示。CLNTEND不仅支持更多连接方法,而且还配备了更多针对AV解决方案的功能。
| 特性 | CXCLNT | CLNTEND |
|---|---|---|
| 活动时间 | 2022 ~ 2024 | 2024 ~ |
| 类型 | EXE | DLL |
| 受害者信息 | ComputerName, OS, Host IP, Net BIOS | ComputerName, OS, UserName |
| 连接方法 | HTTPS, SSL | TCP, HTTP, HTTPS, TLS, SMB (port:445), UDP, WebSocket |
| 反EDR | N/A | EDRSilence, Blindside |
| 功能性 | 客户端 | 客户端, 服务器 |
| 后门模块 | 常规, 插件 | 插件, 会话, 链接 |
| 插件导出函数 | Init, GetInstance, DeleteInstance | GetInstance, DeleteInstance |
TrojanSpy - SCREENCAP
另一个定制工具是ScreenCap,这是一个通过CLNTEND后门通过远程shell安装的屏幕捕获工具(图19)。它改编自一个开源工具,可以在GitHub存储库"vova616"中找到。它将受害者的屏幕截图发送回C&C服务器。
归因
我们的分析通过两个主要指标将VENOM和TIDRONE活动联系起来(图20):
- 共享受害者和服务提供商 - 几个组织出现在两个活动中,表明威胁行为者对特定实体的持续兴趣跨越多个操作。
- 重叠的C&C基础设施 - 使用共同的C&C域,包括显著命名的fuckeveryday[.]life,进一步加强了连接。
这些重叠强烈表明VENOM和TIDRONE都是由同一个威胁行为者或组织策划的。
对于归因,攻击者可能由中文威胁行为者发动,基于以下观察:
- 文件编译和命令执行日志的时间戳与GMT+8时区一致,这对应于中国、台湾和东南亚部分地区。
- 攻击者的战术、技术和程序(TTP)以及他们的目标配置文件与AhnLab先前报告的威胁组织Dalbit使用的那些相似。虽然我们不声称明确的归因,但操作相似性值得注意,并暗示了潜在的联系或共享工具包。
结论
我们对VENOM和TIDRONE活动的调查揭示了Earth Ammit不断发展的贸易技巧中的几个关键趋势。首先,我们观察到在他们的恶意软件武器库中越来越依赖基于光纤的逃避技术——一种旨在更有效地绕过传统检测机制的方法。其次,两个活动在两个不同的攻击波中执行供应链攻击。这突出了对手渗透可信网络以到达高价值目标的长期目标。持续监控他们的基础设施和工具集对于预测他们的下一步行动至关重要。
在VENOM活动中,Earth Ammit主要利用开源工具,可能是因为它们的可访问性、低成本和与合法活动混合的能力。然而,随着操作的成熟,他们转向部署定制恶意软件——特别是在TIDRONE活动中——以增加针对敏感部门的精确性和隐蔽性。
这种进展强调了一个深思熟虑的策略:以低成本、低风险的工具开始广泛建立访问,然后转向定制功能以进行更有针对性和更有影响力的入侵。理解这种操作模式对于预测和防御来自此行为者的未来威胁至关重要。
为了缓解供应链攻击的风险,组织可以实施第三方风险管理计划来评估供应商,使用软件材料清单(SBOM)验证软件,强制执行代码签名,持续监控第三方软件行为,及时应用补丁,分割供应商系统,在事件响应计划中包括第三方违规场景,并采用零信任架构来验证每个连接。
组织还可以通过监控光纤相关API(如ConvertThreadToFiber和CreateFiber)的使用来检测异常行为,加强EDR解决方案以识别基于光纤的异常,并增强行为监控以识别基于光纤恶意软件的典型异常执行模式,从而更好地保护自己免受基于光纤的技术的影响。
趋势科技保护措施
Earth Ammit活动的恶意元素被Trend Vision One™检测和阻止。该平台提供狩猎查询、威胁洞察和威胁情报报告,帮助组织获取关于Earth Ammit的丰富背景和最新更新。
IOC指标 此条目的危害指标(IOC)可在[此处]找到。
狩猎查询 Trend Vision One客户可以使用Search App来匹配或狩猎此博客文章中提到的恶意指标与其环境中的数据。
|
|
更多狩猎查询可供具有威胁洞察权限的Trend Vision One客户使用。