กลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ Earth Ammit ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่ม APT ที่ใช้ภาษาจีน กำลังกลายเป็นภัยคุกคามที่สำคัญต่อภาคทางการทหาร และอุตสาหกรรมในเอเชียตะวันออก
กลุ่มนี้ได้วางแผนการโจมตีสองครั้งที่แตกต่างกัน คือ VENOM และ TIDRONE โดยมุ่งเป้าไปที่ประเทศไต้หวัน และเกาหลีใต้เป็นหลัก
โดยมุ่งเน้นไปที่การแทรกซึมเข้าสู่ระบบ โดยเฉพาะอย่างยิ่งในอุตสาหกรรมโดรน และการทหาร แสดงให้เห็นถึงเจตนาเชิงกลยุทธ์ในการโจมตีเป้าหมายที่มีมูลค่าสูง
แคมเปญ VENOM ของกลุ่ม Earth Ammit มุ่งเป้าไปที่ผู้ให้บริการซอฟต์แวร์ upstream โดยใช้ประโยชน์จากช่องโหว่ของเว็บเซิร์ฟเวอร์ พร้อมทั้งติดตั้งเครื่องมือโอเพ่นซอร์ส เช่น proxy utilities และ remote access trojans (RATs) เพื่อรักษาการเข้าถึงระบบอย่างต่อเนื่อง และหลีกเลี่ยงการระบุตัวตน
ด้วยการแทรกซึมเข้าสู่ supply chain ของ drone พวกเขาสามารถแทรกซึม และส่งผลกระทบที่เป็นอันตรายต่อ ecosystems ที่มีการเชื่อมต่อกันได้
การเปิดเผยการโจมตีแบบ Supply Chain Attacks
แคมเปญ TIDRONE ถูกเปิดเผยในเดือนกรกฎาคม 2024 แสดงให้เห็นถึงวิวัฒนาการทางยุทธวิธีของ Earth Ammit โดยเปลี่ยนไปใช้มัลแวร์ที่สร้างขึ้นเอง รวมถึง backdoors CXCLNT และ CLNTEND ที่ออกแบบมาโดยเฉพาะสำหรับการจารกรรมทางไซเบอร์ในภาคการทหาร และดาวเทียมของไต้หวัน
ต่างจากแคมเปญ VENOM ที่ต้องพึ่งพาเครื่องมือโอเพ่นซอร์ส และ TIDRONE ก็ได้นำเสนอเทคนิคการหลบเลี่ยงขั้นสูงที่ใช้ fiber-based เช่น ConvertThreadToFiber และ FlsAlloc ที่ได้รับแรงบันดาลใจจากการประชุม Black Hat ครั้งล่าสุด
ตามรายงานของ Trend Micro เทคนิคเหล่านี้ รวมถึงเทคนิคต่อต้านการวิเคราะห์ เช่น การตรวจสอบจุดเริ่มต้นของโค้ด (entry point verification) และการลำดับการทำงานของโปรแกรม (execution order dependencies) ช่วยให้มัลแวร์สามารถทำงานในหน่วยความจำได้โดยไม่ถูกตรวจจับจาก Endpoint และการตอบสนองจากระบบ EDR
CLNTEND เป็นเวอร์ชันที่พัฒนาต่อยอดมาจาก CXCLNT ได้ยกระดับความสามารถในการซ่อนตัวให้แนบเนียนยิ่งขึ้น โดยรองรับโปรโตคอลการสื่อสารหลากหลายรูปแบบ เช่น HTTP, TLS และ WebSocket พร้อมทั้งผนวกกับฟีเจอร์การต่อต้านระบบ EDR เช่น การแทรกโค้ด (process injection) เข้าไปในโปรเซสที่ถูกต้องของ Windows อย่างเช่น โปรเซสของ dllhost.exe
นอกจากนี้ เครื่องมืออย่าง SCREENCAP ยังช่วยให้สามารถขโมยภาพหน้าจอออกจากระบบได้ ซึ่งเป็นการเพิ่มความสามารถในการขโมยข้อมูลจากเครือข่ายที่ถูกโจมตีได้อย่างมีประสิทธิภาพ
มัลแวร์ Arsenal ในแคมเปญ TIDRONE
กลุ่ม Earth Ammit ใช้กลยุทธ์การโจมตีแบบ Supply chain attack สองรูปแบบ ทั้งแบบ classic และแบบ general
ในวิธีการแบบ classic มีการแทรกโค้ดที่เป็นอันตรายเข้าไปในการอัปเดตซอฟต์แวร์ที่ถูกต้อง ในขณะที่วิธีการแบบ general จะโจมตีจากช่องทางการสื่อสารที่เชื่อถือได้ เพื่อโจมตีต่อไปภายในเครือข่าย (lateral movement) โดยไม่จำเป็นต้องแก้ไของค์ประกอบของซอฟต์แวร์
ข้อมูลเกี่ยวกับเหยื่อ (Victimology data) แสดงให้เห็นว่าไต้หวัน และเกาหลีใต้ได้รับผลกระทบอย่างมาก โดยครอบคลุมตั้งแต่ Heavy industry ไปจนถึง Healthcare โดยมีการเน้นโจมตีเป็นพิเศษไปที่ Suppliers ที่เกี่ยวข้องกับทางการทหาร และผู้จำหน่ายโดรน
เหยื่อที่ถูกโจมตีร่วมกัน และโครงสร้างพื้นฐานของ Command-and-Control (C&C) ที่ซ้อนทับกัน รวมถึงโดเมนอย่าง fuckeveryday[.]life ยืนยันความเชื่อมโยงระหว่าง VENOM และ TIDRONE ซึ่งแสดงให้เห็นว่าเป็นการปฏิบัติการที่ประสานงานโดยกลุ่มเดียวกัน
ตัวชี้วัดในการระบุแหล่งที่มา เช่น GMT+8 timestamps และความคล้ายคลึงกับกลยุทธ์ของกลุ่มผู้ไม่หวังดี Dalbit แสดงให้เห็นถึงต้นกำเนิดมาจากกลุ่มผู้โจมตีที่ใช้ภาษาจีน แม้ว่าจะยังไม่มีหลักฐานการยืนยันที่ชัดเจนก็ตาม
สำหรับองค์กรต่าง ๆ ที่ได้รับผลกระทบจากช่องโหว่ในการโจมตีแบบ Supply chain attack จำเป็นต้องได้รับการแก้ไขผ่านมาตรการต่าง ๆ ได้แก่ การจัดการความเสี่ยงของ third-party อย่างเข้มงวด, การบังคับใช้ Code Signing และการนำสถาปัตยกรรม Zero Trust มาใช้ เพื่อตรวจสอบความถูกต้องของการเชื่อมต่อทุกครั้ง
การเฝ้าระวังการใช้งาน API ที่เกี่ยวข้องกับ fiber และการเสริมความสามารถในการตรวจจับพฤติกรรมใน EDR solutions ถือเป็นสิ่งสำคัญอย่างยิ่ง ในการรับมือกับเทคนิคการหลบเลี่ยงการตรวจจับ
ที่มา : gbhackers
You must be logged in to post a comment.