Κινέζοι χάκερ στοχεύουν την εφοδιαστική αλυσίδα drone μέσω επιθέσεων multi-wave, σε διάφορους οργανισμούς στην Ταϊβάν και τη Νότια Κορέα, σύμφωνα με αναφορά της Trend Micro.
Δείτε επίσης: Κινέζοι χάκερ εκμεταλλεύονται ευπάθεια του SAP NetWeaver
Η ομάδα των χάκερ, γνωστή ως Earth Ammit και φερόμενη ως συνδεδεμένη με κινεζικές APT (Advanced Persistent Threats), φέρεται να εξαπέλυσε δύο εκστρατείες κυβερνοεπιθέσεων μεταξύ 2023 και 2024. Στόχος τους ήταν οργανισμοί σε διάφορους τομείς, με σκοπό τη διατάραξη αξιόπιστων αλυσίδων εφοδιασμού.
Οι εκστρατείες, με τις ονομασίες Tidrone και Venom, έπληξαν στρατιωτικούς, βαριά βιομηχανία, υπηρεσίες λογισμικού, δορυφορικές επικοινωνίες, τεχνολογία, μέσα ενημέρωσης και τον τομέα της υγείας, αξιοποιώντας τόσο εργαλεία ανοιχτού κώδικα όσο και εξατομικευμένα εργαλεία για την επίτευξη κακόβουλων στόχων.
Η εκστρατεία Tidrone αποκαλύφθηκε για πρώτη φορά τον Σεπτέμβριο του 2024, όταν οι Κινέζοι χάκερ εντοπίστηκαν να εκμεταλλεύονται λογισμικό διαχείρισης επιχειρησιακών πόρων (ERP) και απομακρυσμένη πρόσβαση για την εγκατάσταση των backdoors Cxclnt και Clntend, την υποκλοπή πληροφοριών και την απενεργοποίηση των μηχανισμών ασφαλείας.
Δείτε ακόμα: Οι hackers FamousSparrow διανέμουν τα SparrowDoor & ShadowPad backdoor
Σε μια νέα αναφορά, η Trend Micro εξηγεί ότι η εκστρατεία Venom προηγήθηκε της Tidrone και στόχευσε παρόχους υπηρεσιών και εταιρείες τεχνολογίας στην Ταϊβάν, καθώς και βιομηχανικές επιχειρήσεις βαριάς βιομηχανίας στη Νότια Κορέα. Σύμφωνα με την εταιρεία κυβερνοασφάλειας, η ομάδα Earth Ammit χρησιμοποίησε έναν συνδυασμό δύο τεχνικών επιθέσεων στην εφοδιαστική αλυσίδα: παρενέβη σε νόμιμο λογισμικό που χρησιμοποιούσαν οι στοχευόμενες εταιρείες και παραβίασε προμηθευτές ανώτερου επιπέδου για να διανείμει κακόβουλο λογισμικό σε συνδεδεμένα συστήματα.
Η εκστρατεία Venom βασίστηκε στην εκμετάλλευση ευπάθειας σε διακομιστές ιστού για την εγκατάσταση webshells και στη συνέχεια, στην ανάπτυξη εργαλείων proxy ανοιχτού κώδικα και εργαλείων απομακρυσμένης πρόσβασης για την εξασφάλιση παραμονής στο σύστημα. Έπειτα, οι επιτιθέμενοι υπέκλεψαν διαπιστευτήρια των θυμάτων, με σκοπό να τα χρησιμοποιήσουν σε επιθέσεις κατά πελατών κατώτερου επιπέδου στην εφοδιαστική αλυσίδα.
Στις επιθέσεις Tidrone, οι χάκερ στόχευσαν παρόχους υπηρεσιών με σκοπό την έγχυση κακόβουλου κώδικα και τη διανομή κακόβουλου λογισμικού στους πελάτες τους, όπως αναφέρει η Trend Micro. Στη συνέχεια, εγκατέστησαν τα προσαρμοσμένα backdoors τους για σκοπούς κυβερνοκατασκοπείας.
Οι επόμενες ενέργειες των δραστών περιλάμβαναν κλιμάκωση προνομίων, διατήρηση πρόσβασης στο σύστημα, απόσπαση διαπιστευτηρίων, απενεργοποίηση λογισμικού ασφαλείας και συλλογή πληροφοριών.
Δείτε επίσης: Οι Κινέζοι hackers MirrorFace στοχεύουν θύματα με τα ANEL και AsyncRAT
Εκτός από τα Cxclnt και Clntend, η ομάδα Earth Ammit χρησιμοποίησε εξατομικευμένα εργαλεία όπως το Screencap (εργαλείο καταγραφής οθόνης) και το Venfrpc (γρήγορο reverse proxy), και τα δύο βασισμένα σε εργαλεία διαθέσιμα στο GitHub. Ο κακόβουλος παράγοντας φάνηκε επίσης να χρησιμοποιεί τεχνικές βασισμένες σε δίκτυα οπτικών ινών για την αποφυγή εντοπισμού.
Πηγή: securityweek
