15/05/25
Первая, под названием VENOM, была нацелена на поставщиков программных услуг, а вторая — TIDRONE — фокусировалась на предприятиях оборонной промышленности. Обе кампании использовали атаки на цепочки поставок, при этом в VENOM злоумышленники проникали в верхние уровни экосистемы дронов, а в TIDRONE — вендоров военных и спутниковых решений.
На начальном этапе Earth Ammit предпочитала использовать свободно распространяемые инструменты для минимизации затрат и усложнения отслеживания. Однако в TIDRONE команда перешла к собственным разработкам — бэкдорам CXCLNT и CLNTEND, что позволило реализовать более скрытное и избирательное шпионское ПО.
Атакованные организации базировались в основном в Тайване и Южной Корее. Под угрозу попали поставщики дронов, медиакомпании, технологические и софтверные фирмы, предприятия тяжёлой промышленности, а также компании из спутниковой и медицинской отрасли. Общая стратегия Earth Ammit заключалась в проникновении в доверенные цепочки поставок с целью последующего доступа к более ценным клиентам — конечным организациям.
В ходе расследования кампании TIDRONE в июле 2024 года специалисты выявили совпадения в используемом ERP-софте у нескольких пострадавших организаций. Это позволило выявить более раннюю атаку — VENOM. Все выводы были представлены на конференции Black Hat Asia 2025.
В VENOM использовалась классическая тактика: через уязвимые веб-серверы злоумышленники загружали веб-шеллы, после чего применяли open-source прокси и RAT-инструменты для закрепления в системе. Основной целью было получение NTDS и дальнейшая компрометация систем вниз по цепочке поставок, что стало основой для запуска TIDRONE.
TIDRONE делилась на три этапа. На первом происходила атака через скомпрометированных поставщиков, передача заражённых программ через доверенные каналы. Далее происходило развёртывание бэкдоров, в частности CXCLNT и CLNTEND, с внедрением в системные процессы, обходом UAC и эскалацией привилегий. Последним этапом были действия по извлечению данных — дамп паролей, скриншоты, отключение антивирусов и установка инструментов сбора информации.
Интересной особенностью TIDRONE стало широкое применение fiber-based техник: от SwitchToFiber до FlsAlloc и обработки исключений, что затрудняет анализ и обнаружение. Эти техники появились в том же временном окне, что и доклады по ним на Black Hat USA и Asia, что может указывать на вдохновлённость выступлениями.
