طبق گزارش شرکت امنیتی Trend Micro، یک گروه تهدید پیشرفته با منشأ چینی به نام Earth Ammit حملات چندمرحلهای گستردهای را علیه زنجیره تأمین صنعت پهپاد در تایوان و کره جنوبی انجام داده است.
🎯 هدف: نفوذ به زنجیره تأمین
Earth Ammit در بازه زمانی ۲۰۲۳ تا ۲۰۲۴، دو کمپین حملاتی را با نامهای Venom و Tidrone اجرا کرد. این حملات، شرکتهایی در حوزههای زیر را هدف قرار دادند:
-
صنایع نظامی
-
صنایع سنگین
-
خدمات نرمافزاری
-
فناوری ماهوارهای
-
فناوری و رسانه
-
بخش سلامت
این گروه برای دستیابی به اهداف خود از ترکیبی از ابزارهای متنباز و سفارشیشده استفاده کرده است.
🧪 کمپین Venom – حمله از طریق آسیبپذیری وب
⏳ زمان اجرا: پیش از کمپین Tidrone
🎯 هدف: شرکتهای خدماتی و فناوری در تایوان + صنایع سنگین در کره جنوبی
روشها:
-
بهرهبرداری از آسیبپذیریهای وبسرور برای نصب وبشل
-
استفاده از ابزارهای متنباز پروکسی و دسترسی از راه دور برای پایداری
-
جمعآوری اطلاعات ورود (Credentials) برای حمله به مشتریان پاییندستی
-
استقرار ابزارهایی مانند:
-
Venfrpc (پروکسی معکوس سریع)
-
ابزار Screencap برای گرفتن اسکرینشات
-
🕷 کمپین Tidrone – نفوذ به ERP و توزیع بدافزار
⏳ زمان افشا: سپتامبر ۲۰۲۴
🎯 هدف: ارائهدهندگان خدمات و کاربران نرمافزارهای ERP
روشها:
-
سوءاستفاده از نرمافزارهای برنامهریزی منابع سازمانی (ERP)
-
تزریق کد و توزیع بدافزار از طریق ارائهدهندگان خدمات
-
استقرار بکدورهای Cxclnt و Clntend برای جاسوسی سایبری
-
غیرفعالسازی نرمافزارهای امنیتی، ارتقای سطح دسترسی و استخراج اطلاعات
💣 نوع حمله: ترکیبی از دو روش زنجیره تأمین
Trend Micro توضیح میدهد که Earth Ammit از دو نوع تکنیک حمله زنجیره تأمین استفاده کرده است:
-
دستکاری در نرمافزارهای قانونی مورداستفاده در شرکتهای هدف
-
نفوذ به فروشندگان بالادستی برای آلودهسازی سیستم مشتریان پاییندستی
به این ترتیب، آنها نهتنها شرکتهای هدف مستقیم را، بلکه مشتریان نهایی این شرکتها را نیز تحت تأثیر قرار دادند.
🧬 روند تکامل مهاجمان
در کمپین Venom تمرکز بر ابزارهای متنباز و استتار با ترافیک قانونی بود. اما با پیشرفت عملیات، مهاجمان در Tidrone به سمت استفاده از بدافزارهای اختصاصی و سفارشیشده رفتند تا:
-
دقت هدفگیری را افزایش دهند
-
کشف توسط سیستمهای دفاعی را دشوارتر کنند
یک نظر