Um grupo de espionagem cibernética conhecido como Earth Ammit foi associado a duas campanhas relacionadas, mas distintas, de 2023 a 2024, direcionadas a várias entidades em Taiwan e na Coreia do Sul, incluindo os setores militar, satélite, indústria pesada, mídia, tecnologia, serviços de software e saúde.
A empresa de cibersegurança Trend Micro informou que a primeira onda, nomeada VENOM, visava principalmente os provedores de serviços de software, enquanto a segunda onda, denominada TIDRONE, focou na indústria militar.
Acredita-se que o Earth Ammit esteja conectado a grupos de nações que falam chinês.
"Na sua campanha VENOM, a abordagem do Earth Ammit envolveu penetrar no segmento upstream da cadeia de fornecimento de drones," disseram os pesquisadores de segurança Pierre Lee, Vickie Su e Philip Chen.
O objetivo de longo prazo do Earth Ammit é comprometer redes confiáveis por meio de ataques à cadeia de suprimentos, permitindo que eles mirem entidades de alto valor downstream e ampliem seu alcance.
A campanha TIDRONE foi exposta pela primeira vez pela Trend Micro no ano passado, detalhando os ataques do grupo a fabricantes de drones em Taiwan para entregar malware personalizado, como CXCLNT e CLNTEND.
Um relatório subsequente da AhnLab em dezembro de 2024 detalhou o uso de CLNTEND contra empresas sul-coreanas.
Os ataques são notáveis por visarem a cadeia de fornecimento de drones, aproveitando software de planejamento de recursos empresariais (ERP) para invadir as indústrias militar e de satélites.
Incidentes selecionados também envolveram o uso de canais de comunicação confiáveis – como ferramentas de monitoramento remoto ou de gestão de TI – para distribuir os payloads maliciosos.
A campanha VENOM, segundo a Trend Micro, é caracterizada pela exploração de vulnerabilidades em servidores web para instalar web shells, e depois utilizar o acesso para instalar ferramentas de acesso remoto (RAT) para acesso persistente aos hosts comprometidos.
O uso de ferramentas de código-aberto como REVSOCK e Sliver nos ataques é visto como uma tentativa deliberada de dificultar os esforços de atribuição.
O único malware exclusivo observado na campanha VENOM é o VENFRPC, uma versão customizada do FRPC, que, por si só, é uma versão modificada da ferramenta open-source fast reverse proxy (FRP).
O objetivo final da campanha é coletar credenciais dos ambientes violados e usar as informações roubadas como um trampolim para informar a próxima fase, TIDRONE, voltada a clientes downstream.
A campanha TIDRONE é dividida em três estágios:
Acesso inicial, que espelha a campanha VENOM ao visar provedores de serviços para injetar código malicioso e distribuir malware para clientes downstream;
Comando e controle, que utiliza um carregador de DLL para instalar backdoors CXCLNT e CLNTEND;
Pós-exploração, que envolve configurar persistência, escalar privilégios, desativar software antivírus usando TrueSightKiller, e instalar uma ferramenta de captura de tela chamada SCREENCAP usando CLNTEND
"A funcionalidade central do CXCLNT depende de um sistema de plugin modular. Após a execução, ele recupera plugins adicionais de seu servidor C&C para estender suas capacidades dinamicamente," disse a Trend Micro.
Essa arquitetura não apenas obscurece o verdadeiro propósito do backdoor durante a análise estática, mas também permite operações flexíveis, sob demanda, com base nos objetivos do atacante.
Diz-se que o CXCLNT foi utilizado em ataques desde pelo menos 2022.
O CLNTEND, detectado pela primeira vez em 2024, é seu sucessor e vem com um conjunto ampliado de recursos para evitar detecção.
A conexão entre VENOM e TIDRONE vem de vítimas e provedores de serviços compartilhados e infraestrutura de comando e controle sobreposta, indicando que um agente de ameaça comum está por trás de ambas as campanhas.
A Trend Micro disse que as táticas, técnicas e procedimentos (TTPs) da equipe de hackers se assemelham aos usados por outro grupo de hackers chineses de estado-nação, conhecido como Dalbit (aka m00nlight), indicativo de um toolkit compartilhado.
"Esta progressão sublinha uma estratégia deliberada: começar amplamente com ferramentas de baixo custo e baixo risco para estabelecer acesso, depois mudar para capacidades sob medida para intrusões mais direcionadas e impactantes," disseram os pesquisadores.
Entender esse padrão operacional será crítico para prever e defender contra futuras ameaças desse ator.
Japão e Taiwan Alvo do Vetor Swan
A divulgação ocorre enquanto a Seqrite Labs revelou detalhes de uma campanha de espionagem cibernética chamada Swan Vector, que visou instituições de ensino e a indústria de engenharia mecânica em Taiwan e no Japão com iscas de currículos falsos distribuídos por e-mails de spear-phishing para entregar um implante DLL chamado Pterois, que é então usado para baixar o shellcode Cobalt Strike.
O Pterois também é projetado para baixar do Google Drive outro malware chamado Isurus, que é responsável por executar o framework Cobalt Strike pós-exploração.
A campanha foi atribuída a um ator de ameaça do Leste Asiático com confiança média.
"O ator de ameaça é baseado no Leste Asiático e está ativo desde dezembro de 2024 visando várias entidades baseadas em contratação em Taiwan e no Japão," disse o pesquisador de segurança Subhajeet Singha.
O ator de ameaça depende do desenvolvimento customizado de implantes que compreendem downloader, carregadores de shellcode e Cobalt Strike como suas principais ferramentas, confiando fortemente em múltiplas técnicas de evasão como hash de API, direct-syscalls, callback de função, DLL side-loading e auto-deleção para evitar deixar qualquer tipo de rastro na máquina alvo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...