Earth Ammit 發動數波聯合攻擊試圖切斷台灣無人機供應鏈

摘要

Earth Ammit 是一個與中國進階持續性滲透攻擊 (APT) 集團有所淵源的駭客集團，在 2023 至 2024 年間發動了兩波攻擊行動。第一波「VENOM」主要針對軟體服務供應商，第二波「TIDRONE」主要瞄準軍事產業。在 VENOM 攻擊行動中，Earth Ammit 的作法是滲透無人機供應鏈的上游。
VENOM 攻擊行動主要仰賴開放原始碼工具，因為成本低，而且不易被溯源。但在 TIDRONE 攻擊行動中，駭客則改用像 CXCLNT 和 CLNTEND 這類客製化工具來從事網路間諜活動。
TIDRONE 和 VENOM 攻擊行動的受害機構主要分布在台灣和南韓，有眾多產業受害，包括：軍事、衛星、重工業、媒體、科技、軟體服務，以及醫療。Earth Ammit 的長期目的是藉由滲透供應鏈來入侵其信任的網路，進而攻擊下游的高價值目標並擴大地盤。不僅如此，受害機構還將陷入資料失竊的風險，包括登入憑證和螢幕截圖被外傳。
企業可藉由：管理第三方風險、強制要求程式碼簽章、監控軟體行為與纖程 (fiber) 相關的 API 使用、套用修補更新、將廠商的系統隔離、採用零信任架構、強化 EDR 與行為監控等等，來防範供應鏈攻擊以及使用纖程的攻擊。
Trend Vision One™ 已可偵測並攔截 Earth Ammit 兩起攻擊行動中的惡意元件。此外，Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關 Earth Ammit 的豐富資訊。

2024 年 7 月，我們揭發了 TIDRONE 攻擊行動，該行動專門攻擊台灣的軍事和衛星產業。在我們調查期間，我們發現有多家受害機構都使用了相同的企業資源規劃 (ERP) 軟體。因此我們特別找來該 ERP 廠商幫忙，隨後便發現了更多詳細資料指向另一個更早的相關攻擊行動：VENOM。我們將研究發現發表於上個月舉行的 2025 年 Black Hat Asia 大會，深入討論了 Earth Ammit 在 TIDRONE 和 VENOM 攻擊行動中的手法、他們對東亞軍事產業的針對性攻擊，以及他們與中國間諜集團可能的淵源。

VENOM 攻擊行動主要瞄準各種上游廠商，範圍包括：重工業、媒體、科技、軟體服務，以及醫療產業。圖 1 將 Earth Ammit 發動過的 TIDRONE 和 VENOM 攻擊行動用時間軸的方式全部整理在一圖上。

橘色區塊：時間軸上的橘色區塊代表 VENOM 攻擊行動，活躍期間從 2023 至 2024 年，入侵了台灣的服務供應商和科技公司，以及南韓的重工業機構。Earth Ammit 的策略核心是滲透無人機供應鏈的上游廠商。藉由入侵上游廠商，駭客就有機會攻擊信任這些廠商的下游客戶，而這也示範了供應鏈攻擊如何造成漣漪效應，帶來廣泛的全球性後果。
紅色區塊：時間軸上的紅色區塊代表 TIDRONE 攻擊行動，該行動在 2024 年專門經由上游供應鏈來攻擊台灣的支付服務、衛星產業以及軍事產業。正如我們對整起行動所做的觀察，其案例最早可追溯至 2022 年，當時已有一些不明的南韓和加拿大受害者和社群將樣本送交到 VirusTotal。

受害者分析

納入 AhnLab 發布的 TIDRONE 報告中的研究發現之後，可看到該行動的受害機構主要集中在台灣和南韓 (圖 2)，分布的產業包括：重工業、媒體、技術、軟體服務、醫療、衛星和無人機廠商、軍事相關供應商，以及支付服務供應商。在台灣，我們的監測資料顯示有幾家受感染的機構與軍事及無人機產業關係密切，因此初步判定該行動有可能專門瞄準了無人機產業，而這也是我們後續調查的方向。

供應鏈攻擊

供應鏈攻擊通常是入侵業界信任的上游廠商或服務供應商，以便進入下游目標。我們在分析 VENOM 和 TIDRONE 的攻擊行動時，觀察到兩種不同類型的供應鏈攻擊技巧，兩種各有其手法和效果 (圖 3)。

路徑 A：經典供應鏈攻擊

在經典供應鏈攻擊當中，駭客會將惡意程式碼注入正常軟體當中，或者將軟體更新套件調包成經過篡改的版本。這些被篡改的執行檔會偽裝成正常軟體來提供給下游客戶。這種傳統手法，駭客必須有能力在受害者的供應鏈流程當中注入或調換程式碼。

路徑 B：普遍性供應鏈攻擊

當注入或調換程式碼不可行時，駭客可能會採取另一種策略。先入侵上游廠商，然後再利用他們信任的通訊管道 (例如遠端監控或 IT 管理工具) 將惡意程式散布至相連的環境。這種方法我們稱之為「普遍性供應鏈攻擊」，駭客可從上游廠商橫向移動至下游目標，不需修改任何軟體檔案。

VENOM 和 TIDRONE 攻擊行動都結合了上述兩種攻擊技巧，突顯出供應鏈威脅不斷演變的特性，以及除了軟體完整性的監控很重要之外，合作夥伴生態系內部網路的信任關係以及系統管理員存取點的監控也很重要。

攻擊行動分析 - VENOM

根據我們的監測資料，駭客利用了網站伺服器的漏洞來上傳網站指令列介面工具 (Webshell) 到網站伺服器，進而突破企業的防線。此方法可讓駭客進入受害機構的伺服器內部，成功入侵之後，駭客接著就進入到幕後操縱 (CC) 階段。他們使用開放原始碼的代理器 (proxy) 工具和遠端存取工具 (RAT) 來常駐於系統內部。如前面提到，駭客偏愛使用開放原始碼工具而非自己的惡意程式，藉此掩護其活動並防止被溯源 (圖 4)。

圖 4：駭客在進入系統之後便開始使用開放原始碼代理器 (proxy) 工具 (左) 和後門程式 (右)。

駭客在常駐受害電腦之後，下一個目標就是在該環境內搜刮登入憑證。此階段的目的是蒐集受害環境的 NTDS (目錄服務) 資料，這些資料可用於入侵下一階段的下游客戶，也就是連接到 TIDRONE 攻擊行動。

攻擊行動分析 - TIDRONE

TIDRONE 攻擊行動的感染過程分成三個部分。

突破防線

首先，駭客會攻擊服務供應商，接著經由信任的管道來注入惡意程式碼並散布惡意程式到下游客戶，這部分和 VENOM 攻擊行動差不多。這一整個流程都是 TIDRONE 攻擊行動的突破防線階段 (圖 5)。

圖 5：TIDRONE 攻擊行動經由服務供應商或上游廠商發動供應鏈攻擊來入侵受害者。

幕後操縱 (CC)

第二階段，駭客會散布客製化後門程式來從事網路間諜活動。我們認為駭客應該是使用了同一個載入器來載入兩種不同的惡意檔案：CXCLNT 和 CLNTEND 兩個後門程式。請注意，圖 6 的流程只是很粗略的示意圖，我們在先前有關 TIDRONE 攻擊行動的報告已討論過其多重載入階段。

攻擊後續行動

表 1 顯示受害者環境內觀察到的活動與相關記錄，這些是駭客在整起行動當中主要執行的行為。

行為	相關活動記錄與說明
提升權限	避開使用者帳戶控制 (UAC) 並使用 Winlogon 處理程序的金鑰 (token) 重新啟動處理程序。 $ C:\Windows\SysWOW64\reg.exe: add HKCU\Software\Classes\ms-settings\Shell\Open\command /v DelegateExecute $ C:\Windows\SysWOW64\reg.exe: add HKCU\Software\Classes\ms-settings\Shell\Open\command /t REG_SZ /d "C:\ProgramData\winword.exe" /f $%APPDATA%\.temp\winsrv.exe
常駐	執行一個排程工作。利用自動執行功能將某個目錄中的正常執行檔換掉。
搜刮登入憑證	使用 mimikatz 經由一系列傳統指令來搜刮登入憑證。 $ C:\Windows\Temp\procdump.exe -accepteula -ma lsass.exe lsass.dmp $ C:\Windows\SysWOW64\cmdkey.exe /list $ C:\Temp\procwin.exe (Execute mimikatz)
停用防毒軟體	TrueSightKiller 是一個專門用來終止防毒 (AV) 與端點偵測及回應 (EDR) 處理程序的工具。它能讓駭客或紅隊演練人員避開資安措施，並停用指定的處理程序。 $ mytemp$\TrueSightKiller.exe -n smartscreen.exe
安裝並執行一個客製化工具來蒐集受害者的資訊	main.exe 是一個由 CLNTEND 後門程式經由遠端指令列介面下載及安裝的螢幕截圖工具。 $ C:\Temp\main.exe

表 1：Earth Ammit 活動時的行為和相關的記錄。

惡意程式分析

如同前一節所介紹，我們知道 VENOM 攻擊行動偏愛使用開放原始碼工具而非他們自己的客製化工具，藉此隱藏其行蹤 (圖 8)，他們只用了一個名為「VENFRPC」的客製化工具。而這或許就是可將此攻擊行動歸諸於該集團的有力特徵。不過到了 TIDRONE 攻擊行動，駭客就使用了多種客製化工具，如：CXCLNT、CLNTEND 和 SCREENCAP (圖 9)。

駭客工具 - VENFRPC

在 VENOM 攻擊行動當中，我們發現一個名為「VENFRPC」的客製化 FRPC，它與我們一般在 GitHub 上看到的略有不同，因為其組態設定直接內嵌在檔案本身當中。從其組態設定的格式來看，駭客喜歡用受害機構的識別資訊來讓他們更容易分辨受害者。

如圖 10 所示，這個 GitHub 儲存庫已經含有多個 VENFRPC。每個 VENFRPC 都有自己的組態設定，並且對應至不同的受害者，以方便管理。

CXCLNT/CLNTEND 載入器

自從我們的上一份報告發布之後，我們發現駭客的攻擊又有進一步的演進。2023 年，駭客開始在惡意程式中使用 SwitchToFiber 這類的纖程 (fiber) 技巧。2024 年，其載入器開始改用另一種纖程技巧：FlsAlloc (圖 11)。同年稍晚，惡意程式也出現了例外狀況處理技巧。有趣的是，這些纖程技巧都大約同時出現，並且由同一位演講者 Daniel Jary 發表在 BlackHat USA 2023 和 BlackHat Asia 2024 上。有可能是這些演講讓駭客獲得了靈感並提升了自己的技術，從而開發出纖程式技巧來躲避偵測及監控。

根據我們的監測資料，我們找到了三個不同的載入器變種。

變種 A - ConvertThreadToFiber

這個變種使用了 ConvertThreadToFiber 這個 API 函式來將當前的執行緒轉換成纖程，並且讓它切換至其他纖程。接著使用 CreateFiber 在相同的執行緒內建立一個新的纖程。惡意程式碼會放在纖程結構內偏移 +0xC4 (十六進位) 的位置。最後，使用 SwitchToFiber 切換至新的纖程，然後執行惡意程式碼 (圖 12)。

變種 B - FlsAlloc

FlsAlloc 會註冊一個纖程物件的回呼 (callback) 函式。當物件被釋放或刪除時，回呼函式就會被觸發並執行惡意程式碼 (圖 13)。

變種 C - 例外

此技巧使用到例外處理函式，當例外觸發時，就會執行客製化處理函式內的惡意程式碼。如圖 14 和圖 15 所示，當發生例外狀況時，就會觸發客製化例外處理函式，接著就會透過 ImmEnumInputContext 回呼函式來執行惡意程式碼。

反制分析

除了纖程技巧之外，載入器也進化出兩種值得注意的反制分析技巧。

技巧 1 - 透過 GetModuleHandle 與 XOR 檢查來確認進入點

這項反制分析技巧會使用 GetModuleHandle 來取得當前處理程序的相關資訊。接著再對特定的位元組執行 XOR 運算來檢查進入點是否與預期的處理程序相符 (圖 16)。

技巧 2 - 利用執行順序相依性來防止分析

這項反制分析技巧要求匯出函式必須按照正確的順序來執行 (圖 17)。由於這個載入器會將其解密函式和惡意內容執行作業分散到不同的匯出函式，因此如果匯出函式的執行順序錯誤，或者 rundll32.exe 執行了某個匯出函式，載入程序就會失敗。

CXCLNT 後門程式

根據我們的監測資料顯示，駭客至少從 2022 年起便開始使用 CXCLNT 後門程式。值得注意的是，它會以 EXE 格式完全在記憶體內運作，從不將自己寫入磁碟，這提高了它的隱蔽性，大幅增加了偵測的難度。在通訊方面，它支援兩種流量解析方法：客製化 SSL 通訊協定以及標準的 HTTPS，使得它能融入正常的加密流量當中。

CXCLNT 的核心功能取決於模組化擴充元件系統。在執行時，它會從 CC 伺服器取得其他擴充元件來動態擴充其功能。此架構不僅能在靜態分析時隱藏後門程式在的真正用途，還能根據駭客的目標，彈性執行所需的作業。

根據我們的追蹤記錄，CXCLNT 的使用最早可追溯至 2022 年。它並非以檔案的型態存在，而是在記憶體內解壓縮開來執行。在網路流量方面，它支援兩種連線方式：一種是 SSL 搭配客製化通訊協定，另一種則是使用 HTTPS。其主要功能視它從 CC 伺服器收到的額外擴充元件而定。這讓分析工作很難釐清後門程式的用途，同時也讓其意圖很容易隱藏。

後門指令

CXCLNT 的指令集分為兩大類型：一般指令與擴充元件操作指令。

一般指令

表 2 所列的指令大致上涵蓋了其他惡意程式常見的基本後門程式功能，例如：系統偵查、內嵌組態設定更新，以及在受害主機上執行指令列命令。

後門指令	行為
0x1001	將受害者的資訊傳送至 CC 伺服器，包括： BIOS 電腦名稱組態設定標記主機 IP OS
0x1002	關閉後門程式。
0x1003	SetEvent 與關閉後門程式。
0x1004	從 CC 伺服器接收 shellcode。
0x1005	清除足跡。刪除載入器和加密後的惡意檔案。刪除服務。
0x1006	更新 CC 伺服器並將加密的 CC 寫入「software\\classes\\Licenses\\」這個系統登錄機碼。

表 2：CXCLNT 後門程式的一般指令。

擴充元件操作指令

CXCLNT 支援在執行時期安裝擴充元件來讓 CC 伺服器能視需要部署特殊的模組。這些擴充元件可暫時擴充後門程式功能，一旦工作完成之後就能徹底移除 (表 3)。像這樣以擴充元件為基礎的設計，可支援各式各樣的惡意操作，同時還能盡量減少後門程式的靜態足跡。

後門指令	行為
0x2001	接收擴充元件的大小。
0x2002	接收擴充元件的檔案。
0x2003	載入擴充元件並將函式寫入後門指令：0x2004-0x2007。
0x2004	不明
0x2005	呼叫擴充元件的匯出函式：Init
0x2006	呼叫擴充元件的匯出函式：DeleteInstance
0x2007	呼叫擴充元件的匯出函式：GetInstance

表 3：CXCLNT 後門程式的擴充元件操作指令。

CLNTEND 後門程式

CLNTEND 最早在 2024 年被發現，是 CXCLNT 後門程式的後繼者。如同其先前版本一樣，CLNTEND 完全在記憶體內執行以躲避偵測，但它卻是以 DLL 的形式散布。此版本實做了許多功能來適應各種攻擊情境。CLNTEND 主要的改進之一是採用雙重模式的設計，支援用戶端和伺服器兩種模式，由內嵌的組態設定來決定。此外，支援的通訊協定也更廣泛，包括：

HTTP
HTTPS
SMB (連接埠 445)
TCP
TLS
UDP
WebSocket

為了隱藏足跡，CLNTEND 也提供一些反制偵測功能，例如：將程式碼注入 dllhost.exe 的處理程序 (一個正常的 Windows 處理程序)，以及停用 EDR 解決方案。

CLNTEND 將其功能分散到三種主要類型的指令：

Link - Link 模組提供了七種連線方式可供選擇，並可在「用戶端」與「伺服器」兩種後門程式模式之間切換。
Plugin - 擴充元件操作與第一版的 CXCLNT 類似，但只保留了兩個匯出函式：GetInstance 和 DeleteInstance。
Session - 將遠端指令列介面 (remote shell) 注入 dllhost.exe。我們在觀察到的其中一項行為當中發現，這些指令都是經由 winword.exe 來執行。在正常情況下，winword.exe 很少會直接執行 cmd.exe，因此我們相信這個注入技巧是用來躲避偵測或提升權限。

CXCLNT 與 CLNTEND 比較

表 4 列出 CXCLNT 與 CLNTED 之間的比較，CLNTEND 不僅支援更多連線方式，還支援更多針對防毒產品的功能。

	CXCLNT	CLNTEND
活躍時間	2022 ~ 2024 年	2024 ~
類型	EXE	DLL
受害者資訊	電腦名稱 OS 主機 IP Net BIOS	電腦名稱 OS 使用者名稱
連線方式	HTTPS SSL	TCP、HTTP、HTTPS、TLS、SMB (連接埠：445)、 UDP、WebSocket
反制 EDR	無	EDRSilence Blindside
功能	用戶端	伺服器用戶端
後門程式模組	General、Plugin	Plugin、Session、Link
擴充元件匯出函式	Init GetInstance DeleteInstance	GetInstance DeleteInstance

表 4：CXCLNT 與 CLNTEND 功能比較。

此外，我們也發現這兩個後門程式之間有些相似之處。兩者都有一個函式來蒐集受害者的資訊，並用來計算受害者雜湊碼。這個 if-else 條件敘述顯示它有兩種模式：一種是用來測試，另一種是用來在受害環境內執行。這個旗標位於內嵌的組態設定當中，用來控制目前啟用的是哪個模式 (圖 18)。

圖 18：在 if-else 條件敘述中含有一段類似的程式碼用來選擇它在被感染環境中的運作模式。

TrojanSpy - SCREENCAP

另一個客製化工具是 ScreenCap，這是一個由 CLNTEND 後門程式透過遠端指令列安裝的螢幕截圖工具 (圖 19)。它是改編自某個開放原始碼工具，可在 GitHub 儲存庫「vova616」上找到。它會將受害者的螢幕畫面截圖傳回給 CC 伺服器。

駭客溯源

我們的分析之所以將 VENOM 和 TIDRONE 兩起攻擊行動視為有所關聯，主要是根據兩項指標 (圖 20)：

相同的受害者和服務供應商 - 有好幾家企業同時出現在兩起攻擊行動當中，顯示駭客對某些機構情有獨鍾。
重疊的 CC 基礎架構 - 使用相同的 CC 網域，包括名稱相當引人注目的「fuckeveryday[.]life」網域，更加證明了兩者的關聯。

這些重疊之處強烈顯示 VENOM 和 TIDRONE 都是由同一個駭客或駭客集團所策劃。

在溯源方面，這些攻擊可能都是由中國的駭客集團所發動，基於以下觀察：

檔案彙整與指令執行記錄檔的時間戳記所用時區為 GMT+8，對應至中國、台灣以及東南亞某些地區。
駭客的手法、技巧與程序 (TTP) 以及其攻擊目標，都與之前 AhnLab 通報的 Dalbit 駭客集團相似。雖然我們無法肯定，但兩者在營運上的相似性相當顯著，表示兩者有潛在的關聯或者彼此共用工具。

結論

根據我們對 VENOM 和 TIDRONE 攻擊行動的調查，Earth Ammit 持續演進的手法讓我們看到幾項關鍵趨勢。首先，我們發現他們越來越常在惡意程式當中使用纖程 (fiber) 技巧來躲避偵測，這是一種更有效躲避傳統偵測機制的方法。其次，兩起行動在不同的兩波攻擊當中都使用了供應鏈攻擊，突顯駭客的長期目標是要滲透受信任的網路來潛入高價值目標。因此，持續監控其基礎架構和工具，對於預測其下一步行動至關重要。

在 VENOM 攻擊行動中，Earth Ammit 主要利用開放原始碼工具，這很可能是因為這些工具容易取得、成本低，而且能融入正常的活動當中。然而，隨著駭客的營運逐漸成熟，他們開始轉而散播客製化惡意程式 (尤其在 TIDRONE 攻擊行動中)，藉此提高攻擊敏感產業的準確度與隱蔽性。

這樣的發展看起來是一種經過深思熟慮的策略：先利用低成本、低風險的工具來大舉突破防線，接著改用量身訂做的工具來發動更具針對性、衝擊更大的入侵。了解這樣的運作模式，是預測及防範該駭客集團未來攻擊的關鍵。

要降低供應鏈攻擊的風險，企業可建置第三方管理方案來對廠商進行評估、使用軟體物料清單 (SBOM) 來檢查軟體、強制使用程式碼簽章、持續監控第三方軟體的行為、盡速套用修補更新、將廠商系統隔離、在事件回應計畫當中加入第三方廠商遭到入侵的情境，以及採用零信任架構來檢查每一次的連線。

此外，企業還可監控纖程相關 API (如 ConvertThreadToFiber 和 CreateFiber) 的使用情況來偵測異常行為、強化 EDR 解決方案來偵測纖程相關的異常狀況，並且強化行為監控來發掘使用纖程的惡意程式特有的異常執行模式。

採用 Trend Vision One™ 的主動式防護

企業可採用 Trend Vision One™ 來防範本文討論的威脅，這是唯一採用 AI 來驅動的企業網路資安平台，集合了資安曝險管理、資安營運，以及強大的多層式防護於一身。這套全方位的方法能協助您預測及防範威脅，讓您在所有數位資產上加速實現主動式防護的成果。它憑著數十年的網路資安領導地位，以及業界首創的 Trend Cybertron 主動式網路資安 AI，為您帶來經得起考驗的具體成果：減少 92% 的勒索病毒風險，以及縮短 99% 的偵測時間。資安領導人可評量自己的資安狀況，向所有利害關係人展示資安的持續改善。有了 Trend Vision One，您就能消除資安盲點，專心處理最重要的問題，讓資安晉升為支援您創新的策略合作夥伴。

趨勢科技威脅情報

為了隨時掌握不斷演變的威脅，趨勢科技客戶可透過 Trend Vision One™ Threat Insights 來取得 Trend Research 有關新興威脅及駭客集團的最新洞見。

Trend Vision One Threat Insights

駭客集團：Earth Ammit
新興威脅：Earth Ammit 發動數波聯合攻擊試圖切斷台灣無人機供應鏈

Trend Vision One Intelligence Reports 應用程式 (IoC 掃描)

Earth Ammit 發動數波聯合攻擊試圖切斷台灣無人機供應鏈

追蹤查詢

Trend Vision One Search 應用程式

Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標，看看是否也出現在自己的環境中。

偵測 Earth Ammit 活動的惡意程式

eventName:MALWARE_DETECTION AND (malName:*VENFRPC* OR malName:*CXCLNT* OR malName:*CLNTEND* OR malName :*SCREENCAP*)

除此之外，Trend Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。

入侵指標 (IoC)

如需本文提到的入侵指標完整清單，請至此處。

感謝 Cyris Tseng 和 Leon M Chang 提供額外的分析資訊。