出典: eric1207cvb via Shutterstock
中国語を話す脅威グループEarth Ammitは、当初想定されていた台湾のドローンメーカーだけでなく、より広範な業界を標的にしました。
昨年のレポートで、トレンドマイクロはEarth Ammitのキャンペーン「Tidrone」を詳細に説明し、その時点では軍事および衛星関連の産業サプライチェーンとドローンメーカーを特に標的にしていると考えられていました。
想定よりも広範かつ持続的
セキュリティベンダーのその後の継続的な分析により、キャンペーンがより広範であり、他のいくつかの業界の企業にも影響を与えていることが示されました。これには、重工業、メディア、技術、ソフトウェアサービス、ヘルスケア、衛星および軍事関連のサプライチェーン、韓国と中国の支払いサービスプロバイダーが含まれます。
さらに、これらの業界への攻撃は2つの異なる波で発生しました。最初は以前報告されたTidroneキャンペーンであり、2番目はこれまで報告されていなかった「Venom」としてトレンドマイクロが追跡しているキャンペーンで、主に脅威グループの関心のあるセクターの企業に対する上流のソフトウェアプロバイダーを標的にしていました。脅威アクターの目標は、信頼されたソフトウェアベンダーとサービスを侵害し、それによって高価値の下流顧客を標的にすることでした。
「Earth Ammitの長期的な目標は、サプライチェーン攻撃を通じて信頼されたネットワークを侵害し、それにより高価値のエンティティを下流で標的にし、その影響を拡大することです」とトレンドマイクロの研究者Pierre Lee、Vickie Su、Philip Chenは今週のレポートで書いています。「これらの攻撃の犠牲となる組織は、資格情報やスクリーンショットの流出を含むデータ盗難のリスクにもさらされています。」
関連:北朝鮮のTA406がウクライナをインテルのために標的に
Earth Ammitのアクターは、ターゲットに到達する方法としてソフトウェアベンダーとサービスプロバイダーを標的にしました。ソフトウェアベンダーへの攻撃では、脅威アクターは正当なソフトウェア製品と更新に悪意のあるコードを注入し、それが下流の顧客に展開されるようにしました。サービスプロバイダーへの攻撃では、脅威グループは技術サービスプロバイダーのシステムに侵入し、リモートモニタリングとIT管理ツールを使用して顧客のシステムに侵入しました。
「VenomとTidroneは関連しているが異なる使命を持っていました」とトレンドマイクロのシニア脅威研究者Stephen Hiltonは言います。「どちらもEarth Ammitによって実施され、ドローンサプライチェーンに関与するエンティティの侵害に焦点を当てていましたが、実行とターゲットの範囲が異なっていました」と彼は言います。2023年から2024年にかけて活動していたVenomは、信頼された関係を通じて下流の高価値ターゲットに間接的に侵入するために、広範な上流ベンダーを標的にしました。対照的に、2024年に観察されたTidroneは、台湾の軍事および衛星組織を直接標的にし、侵害されたサービスプロバイダーとERPソフトウェアを利用してスパイ活動に焦点を当てたマルウェアを展開し、より直接的で専門的なアプローチを示しています。
関連:パハルガム攻撃後、ハクティビストが#OpIndiaの下で団結
Venomキャンペーン
トレンドマイクロは、Venomキャンペーンが2023年から2024年初頭にかけて活動していたと説明しました。このフェーズでは、Earth Ammitのアクターは検出が難しく、帰属が難しいオープンソースツールとLiving-off-the-land技術を主に使用してサービスプロバイダーのシステムにアクセスし、そこから下流の顧客を標的にしました。多くの場合、Webサーバーの脆弱性を利用して初期アクセスを獲得し、その後、ソフトウェアプロバイダーの顧客のシステムに侵入するためのWebシェルをアップロードしました。Earth Ammitの脅威アクターは、オープンソースプロキシを使用してコマンド&コントロール(C2)チャネルを確立し、リモートアクセス型トロイの木馬(RAT)を介して持続性を達成しましたとトレンドマイクロは述べています。
VenomキャンペーンでEarth Ammitが展開した唯一のカスタムツールは、オープンソースのFast Reverse Proxy Client(FRPC)のカスタマイズ版であるVENFRPCで、脅威アクターはこれを使用して隠密なリモートアクセスとC2トンネリングを可能にしました。
関連:「レモンサンドストーム」が中東インフラへのリスクを強調
「Venomキャンペーンでは、Earth Ammitは下流のクライアントと頻繁に信頼された接続を維持するセクターの上流ベンダーを標的にしました」とHiltonは言います。これには、重工業、メディア、技術、ソフトウェアサービス、ヘルスケアの組織が含まれます。「これらのエンティティを侵害することにより、Earth Ammitは確立された関係と通信チャネルを利用して、ドローンおよび防衛サプライチェーンに関与する企業など、より戦略的に価値のあるターゲットにマルウェアを挿入することを目指しました。」
Tidroneキャンペーン
Earth Ammitは、Tidroneキャンペーンでより複雑な3段階の感染チェーンを使用しましたとトレンドマイクロの分析は示しました。初期アクセスのために、脅威アクターは標的業界の組織に対するサービスプロバイダーを攻撃し、その顧客のシステムに悪意のあるコードを注入しました。
C2のために、敵対者はカスタムツールを使用して、侵害されたシステムに2つの異なるペイロードをロードしました: 以前報告されたバックドアであるCXCLNTとCLTENDで、Earth Ammitはサイバースパイ活動に依存していました。侵害後、Earth Ammitは被害者環境からの情報収集という目標に一致するさまざまな悪意のある活動を行いました。これには、ユーザーアカウント制御(UAC)バイパスによる権限昇格、スケジュールされたタスクと自動実行の有効化による持続性、資格情報のダンプ、ウイルス対策およびマルウェア検出ツールの無効化が含まれます。
Tidroneは特に軍事および衛星セクターに関連するエンティティに集中していましたとHiltonは言います。これは、サービスプロバイダーとERPソフトウェアの侵害を含み、ドローン製造および防衛組織に直接ペイロードを配信することで、高価値の国家安全保障関連ターゲットを狙ったよりターゲットを絞ったサプライチェーン攻撃を示していますと彼は付け加えます。
トレンドマイクロのレポートは、ドローンメーカーや他の業界の企業からデータを盗むEarth Ammitの目的について推測していませんでした。しかし、これらおよび他のほとんどの中国の国家支援サイバースパイ活動の目的は、中国の経済および軍事能力を強化することが一般的です地域および世界の緊張が高まる中で。さらに、このようなスパイ活動は、中国がアジア太平洋地域におけるドローンや自律兵器のような新興技術における敵対者の能力を評価するのに役立つ可能性があります。