São Paulo — InkDesign News — O grupo de ameaças cibernéticas de língua chinesa, Earth Ammit, tem como alvo uma gama mais ampla de indústrias do que se pensava anteriormente, evidenciando uma série de campanhas de ataque focadas em fornecer acesso a sistemas por meio de fornecedores de software e serviços.
Vetor de ataque
Os ataques do Earth Ammit, detalhados em um relatório da Trend Micro, ocorreram em duas fases distintas. A primeira, chamada Tidrone, visava diretamente organizações militares e relacionadas a satélites em Taiwan, enquanto a segunda, denominada Venom, focava em provedores de software. A técnica utilizada incluía a injeção de código malicioso em produtos de software legítimos e atualizações, semelhante ao ataque SolarWinds.
Impacto e resposta
A Trend Micro reporta que os ataques impactaram setores como heavy industry, mídia, tecnologia, serviços de software, saúde, e cadeias de suprimentos adjacentes à defesa. A Earth Ammit usou ferramentas open source e técnicas de Living Off the Land (LoL), explorando vulnerabilidades de servidores web para obter acesso inicial. Após a infiltração, implementaram shells web e estabeleceram canais de comando e controle (C2) usando proxies open source.
“O objetivo de longo prazo da Earth Ammit é comprometer redes confiáveis por meio de ataques à cadeia de suprimentos, permitindo que foquem em entidades de alto valor a jusante e ampliem seu alcance.”
(“Earth Ammit’s long-term goal is to compromise trusted networks via supply chain attacks, allowing them to target high-value entities downstream and amplify their reach.”)— Pierre Lee, Pesquisador, Trend Micro
Análise e recomendações
O Acesso de Clientes e o pós-compromisso pelos atacantes facilitaram a escalonamento de privilégios e a coleta de dados sensíveis. O relatório da Trend Micro sugere que vulnerabilidades específicas em serviços de software foram exploradas, apontando para a importância de revisar e reforçar as defesas em infraestrutura crítica. Recomenda-se a implementação de práticas robustas de gestão da cadeia de suprimentos e a verificação regular de atualizações de segurança, especialmente em ferramentas de software utilizadas por setores sensíveis.
Esperam-se atualizações contínuas sobre as atividades do Earth Ammit, refletindo a crescente complexidade das táticas de espionagem cibernética, o que representa um desafio significativo para as organizações afetadas no contexto global de tensões crescentes.
Fonte: (Dark Reading – Segurança Cibernética)
