Earth Ammit借道ERP渗透无人机，VENOM与TIDRONE双重绞杀战术全景揭秘！

近期，一个代号为 Earth Ammit 的高级网络间谍组织被锁定，其在2023至2024年间，针对中国台湾和韩国的军事、卫星、重工、科技及软件服务等关键领域，精心策划并实施了VENOM（毒液）与TIDRONE（钛翼无人机）两轮高度协同的攻击行动。趋势科技的深度报告指出，该组织疑似具备中文国家背景，其攻击矛头直指错综复杂的无人机供应链，暴露出以ERP系统为突破口的严重安全隐患。

一、VENOM行动：供应链上游的无声猎杀与情报刺探

VENOM行动如同蟒蛇般悄然缠绕供应链上游，特别是防护相对薄弱的软件服务提供商，为其后续精准打击铺路。

突破点：Web服务漏洞百出

攻击者熟练利用目标Web服务器（如Apache Struts2、Oracle WebLogic等中间件，或受Log4Shell等“核弹级”漏洞影响的系统）的已知远程代码执行(RCE)漏洞，植入各类Web Shell变种（如蚁剑、冰蝎的定制版），建立初步滩头阵地。

持久化与隧道构建

随后，部署如REVSOCK（轻量级反向SOCKS5代理，用于在受限网络中建立隐蔽C2隧道，访问内网资源）和Sliver C2框架（功能强大的开源指挥与控制平台，提供丰富的植入体生成和通信模块，常被APT用于替代昂贵商业工具，并增加归因难度）等RAT工具。

定制化跳板：VENFRPC

此阶段的核心定制工具VENFRPC，是基于著名开源内网穿透工具FRPC（Fast Reverse Proxy Client）的深度改造版。FRPC能将内网服务安全暴露至公网。VENFRPC的定制可能包括：增强的加密通信协议以躲避NIDS/NIPS检测、独特的C2握手与指令集、以及针对性的反病毒引擎（AV）/端点检测与响应（EDR）绕过技术。 VENOM的核心使命是广泛搜集凭证（系统登录、VPN、数据库、各类应用账户），为TIDRONE行动提供精确导航数据。

二、TIDRONE行动：ERP成“阿喀琉斯之踵”，直捣军工核心

TIDRONE行动则如精确制导武器，利用VENOM的成果，直指军事工业及无人机核心制造商。

ERP系统——供应链的“中枢陷阱”

ERP系统因其整合了企业订单、生产、库存、物流、财务等全部核心业务流程，并连接着庞大的上下游合作伙伴生态，一旦被控，攻击者便如同掌握了渗透整个供应链网络的“万能钥匙”。Earth Ammit可能通过以下方式攻陷ERP：

利用ERP对外服务模块的N-day漏洞获取权限；
针对ERP系统管理员进行高仿真鱼叉式网络钓鱼，窃取登录凭证；
发现并利用ERP系统存在的弱口令、默认配置缺陷或API接口漏洞。

成功控制ERP后，攻击者不仅能窃取核心数据，更能利用ERP系统的合法功能（如软件更新、补丁分发、合作伙伴门户）或已建立的信任关系，隐蔽地向目标企业内部网络乃至下游客户部署恶意软件。

精密恶意软件投送与执行

隐形加载器 (DLL Loader)：
通常采用一个精巧的DLL加载器，在内存中隐蔽地解密并执行主后门载荷（CXCLNT、CLNTEND），有效规避基于文件特征的静态检测。
模块化后门双星：CXCLNT & CLNTEND：
CXCLNT（自2022年起活跃）以其高度模块化架构著称，能根据C2指令按需加载特定功能插件（如键盘记录、文件系统遍历与窃取、内存凭证抓取（如Mimikatz的定制模块）、针对特定系统或应用的0-day/N-day漏洞利用模块等）。这种“即插即用”的设计极大增强了其灵活性和隐蔽性。其“升级版”CLNTEND（2024年首次发现），在反沙箱、反调试、通信加密及功能集成度上均有显著提升，以对抗日益增强的终端防护。

后渗透“组合拳”

部署TrueSightKiller（可能针对特定EDR/AV产品进行进程干扰、驱动卸载或Hook绕过的工具）以瘫痪安全防护，并通过CLNTEND植入定制截图工具SCREENCAP，持续监控受害者屏幕，搜集高价值情报。

三、双行动联动与归因：Earth Ammit的战略耐心与演进

VENOM与TIDRONE在受害者选择、基础设施复用（特别是C2服务器）上呈现高度一致性，铁证指向Earth Ammit的统一操盘。其复杂的TTPs（战术、技术与步骤）与另一个被怀疑有国家背景的中文黑客组织Dalbit (m00nlight) 有诸多相似之处，这在威胁情报分析中意义重大，有助于追踪攻击者背景、预测其后续动作、共享IOCs，并揭示其可能共享或借鉴了某些攻击工具库或攻击模式。Earth Ammit“先VENOM广撒网低成本试探，后TIDRONE携定制军火库精准猎杀”的策略，是成熟APT组织惯用的作战模式：最大化机会窗口，降低早期高价值工具暴露风险，逐步筛选目标，最终集中优势资源对核心节点实施致命一击。

四、警钟长鸣：Swan Vector等其他APT活动同步活跃

与此同时，安全厂商Seqrite Labs亦披露了针对台日教育与机械工程行业的Swan Vector网络间谍行动（疑为东亚背景）。该组织通过鱼叉邮件投递DLL植入体Pterois（利用DLL侧加载等技术执行），Pterois从Google Drive下载另一恶意软件Isurus，最终加载Cobalt Strike。其大量运用API哈希（隐藏敏感API调用，绕过静态分析和API监控）和直接系统调用（绕过用户态EDR的API Hooking）等高级逃逸技术。

五、构筑情报驱动的供应链纵深防御工事

Earth Ammit及Swan Vector等APT组织的持续活跃和战术演进，昭示着供应链安全已成为国家级网络对抗的前沿阵地。

企业必须摒弃孤立、静态的防护思维，构建基于威胁情报、内外联动（强化内部日志审计与异常行为分析，结合外部威胁源）、持续迭代的纵深防御体系。这包括加强对Web应用、ERP等核心信息系统的安全基线核查与漏洞管理，提升对异常登录、数据流转和横向移动的检测与响应能力，并定期开展供应链风险评估与应急演练，方能在日益复杂和激烈的网络攻防博弈中，守住核心资产和业务连续性的生命线。