طبق گزارش شرکت امنیتی Trend Micro، یک گروه تهدید پیشرفته با منشأ چینی به نام Earth Ammit حملات چندمرحلهای گستردهای را علیه زنجیره تأمین صنعت پهپاد در تایوان و کره جنوبی انجام داده است.
🎯 هدف: نفوذ به زنجیره تأمین
Earth Ammit در بازه زمانی ۲۰۲۳ تا ۲۰۲۴، دو کمپین حملاتی را با نامهای Venom و Tidrone اجرا کرد. این حملات، شرکتهایی در حوزههای زیر را هدف قرار دادند:
صنایع نظامی
صنایع سنگین
خدمات نرمافزاری
فناوری ماهوارهای
فناوری و رسانه
بخش سلامت
این گروه برای دستیابی به اهداف خود از ترکیبی از ابزارهای متنباز و سفارشیشده استفاده کرده است.
🧪 کمپین Venom – حمله از طریق آسیبپذیری وب
⏳ زمان اجرا: پیش از کمپین Tidrone
🎯 هدف: شرکتهای خدماتی و فناوری در تایوان + صنایع سنگین در کره جنوبی
روشها:
بهرهبرداری از آسیبپذیریهای وبسرور برای نصب وبشل
استفاده از ابزارهای متنباز پروکسی و دسترسی از راه دور برای پایداری
جمعآوری اطلاعات ورود (Credentials) برای حمله به مشتریان پاییندستی
استقرار ابزارهایی مانند:
Venfrpc (پروکسی معکوس سریع)
ابزار Screencap برای گرفتن اسکرینشات
🕷 کمپین Tidrone – نفوذ به ERP و توزیع بدافزار
⏳ زمان افشا: سپتامبر ۲۰۲۴
🎯 هدف: ارائهدهندگان خدمات و کاربران نرمافزارهای ERP
روشها:
سوءاستفاده از نرمافزارهای برنامهریزی منابع سازمانی (ERP)
تزریق کد و توزیع بدافزار از طریق ارائهدهندگان خدمات
استقرار بکدورهای Cxclnt و Clntend برای جاسوسی سایبری
غیرفعالسازی نرمافزارهای امنیتی، ارتقای سطح دسترسی و استخراج اطلاعات
💣 نوع حمله: ترکیبی از دو روش زنجیره تأمین
Trend Micro توضیح میدهد که Earth Ammit از دو نوع تکنیک حمله زنجیره تأمین استفاده کرده است:
دستکاری در نرمافزارهای قانونی مورداستفاده در شرکتهای هدف
نفوذ به فروشندگان بالادستی برای آلودهسازی سیستم مشتریان پاییندستی
به این ترتیب، آنها نهتنها شرکتهای هدف مستقیم را، بلکه مشتریان نهایی این شرکتها را نیز تحت تأثیر قرار دادند.
🧬 روند تکامل مهاجمان
در کمپین Venom تمرکز بر ابزارهای متنباز و استتار با ترافیک قانونی بود. اما با پیشرفت عملیات، مهاجمان در Tidrone به سمت استفاده از بدافزارهای اختصاصی و سفارشیشده رفتند تا:
دقت هدفگیری را افزایش دهند
کشف توسط سیستمهای دفاعی را دشوارتر کنند
یک نظر