Группировка Earth Ammit, связанная с китайскими государственными хакерами, проводит масштабные кибершпионские кампании против военных и промышленных объектов в Тайване и Южной Корее. Исследователи Trend Micro Пьер Ли, Вики Су и Филип Чен обнаружили две взаимосвязанные операции — VENOM и TIDRONE, активные в 2023-2024 годах.
Кампания VENOM нацелена на поставщиков программного обеспечения, особенно в сегменте дронов. Хакеры эксплуатируют уязвимости веб-серверов для установки веб-шеллов, а затем внедряют инструменты удаленного доступа (RAT) для обеспечения постоянного присутствия в системах. Для маскировки своей деятельности группа использует открытые инструменты REVSOCK и Sliver.
Особое внимание исследователи уделили вредоносному ПО VENFRPC — модифицированной версии открытого инструмента быстрого обратного прокси FRPC. Основная цель VENOM — сбор учетных данных, которые затем используются в кампании TIDRONE против конечных клиентов.
TIDRONE, впервые обнаруженная Trend Micro в прошлом году, сосредоточена на военной промышленности. В декабре 2024 года компания AhnLab опубликовала дополнительные сведения об использовании вредоносного ПО CLNTEND против южнокорейских компаний. Атака TIDRONE проходит в несколько этапов: сначала хакеры получают доступ к системам поставщиков услуг и внедряют вредоносный код, затем используют загрузчик DLL для развертывания бэкдоров CXCLNT и CLNTEND.
На этапе пост-эксплуатации злоумышленники закрепляются в системе, повышают привилегии, отключают антивирусное ПО с помощью TrueSightKiller и устанавливают инструмент SCREENCAP через CLNTEND для дальнейшего шпионажа.
Вредоносное ПО CXCLNT используется как минимум с 2022 года и отличается модульной системой плагинов, позволяющей загружать дополнительные компоненты с серверов управления для расширения функциональности. CLNTEND, обнаруженный в 2024 году, является усовершенствованной версией CXCLNT с расширенными возможностями обхода систем обнаружения.
Связь между кампаниями VENOM и TIDRONE подтверждается общими жертвами, пересекающейся инфраструктурой управления и командования, а также тактиками, техниками и процедурами, схожими с методами китайской хакерской группы Dalbit (также известной как m00nlight).
Параллельно с этими кампаниями исследователи Seqrite Labs выявили операцию Swan Vector, нацеленную на образовательные учреждения и предприятия машиностроительной отрасли в Тайване и Японии. Атаки проводятся через фишинговые письма с поддельными резюме. Используется вредоносное ПО Pterois (DLL-имплант, загружающий ш
Кампания VENOM нацелена на поставщиков программного обеспечения, особенно в сегменте дронов. Хакеры эксплуатируют уязвимости веб-серверов для установки веб-шеллов, а затем внедряют инструменты удаленного доступа (RAT) для обеспечения постоянного присутствия в системах. Для маскировки своей деятельности группа использует открытые инструменты REVSOCK и Sliver.
Особое внимание исследователи уделили вредоносному ПО VENFRPC — модифицированной версии открытого инструмента быстрого обратного прокси FRPC. Основная цель VENOM — сбор учетных данных, которые затем используются в кампании TIDRONE против конечных клиентов.
TIDRONE, впервые обнаруженная Trend Micro в прошлом году, сосредоточена на военной промышленности. В декабре 2024 года компания AhnLab опубликовала дополнительные сведения об использовании вредоносного ПО CLNTEND против южнокорейских компаний. Атака TIDRONE проходит в несколько этапов: сначала хакеры получают доступ к системам поставщиков услуг и внедряют вредоносный код, затем используют загрузчик DLL для развертывания бэкдоров CXCLNT и CLNTEND.
На этапе пост-эксплуатации злоумышленники закрепляются в системе, повышают привилегии, отключают антивирусное ПО с помощью TrueSightKiller и устанавливают инструмент SCREENCAP через CLNTEND для дальнейшего шпионажа.
Вредоносное ПО CXCLNT используется как минимум с 2022 года и отличается модульной системой плагинов, позволяющей загружать дополнительные компоненты с серверов управления для расширения функциональности. CLNTEND, обнаруженный в 2024 году, является усовершенствованной версией CXCLNT с расширенными возможностями обхода систем обнаружения.
Связь между кампаниями VENOM и TIDRONE подтверждается общими жертвами, пересекающейся инфраструктурой управления и командования, а также тактиками, техниками и процедурами, схожими с методами китайской хакерской группы Dalbit (также известной как m00nlight).
Параллельно с этими кампаниями исследователи Seqrite Labs выявили операцию Swan Vector, нацеленную на образовательные учреждения и предприятия машиностроительной отрасли в Тайване и Японии. Атаки проводятся через фишинговые письма с поддельными резюме. Используется вредоносное ПО Pterois (DLL-имплант, загружающий ш