Un grup de hackeri, anterior necunoscut, cu posibile legături cu grupuri vorbitoare de limbă chineză, a țintit în principal producătorii de drone din Taiwan, în cadrul unei campanii de atacuri cibernetice lansată în 2024.
Trend Micro urmărește acesta grupare sub denumirea de TIDRONE, afirmând că activitatea este motivată de spionaj, având în vedere concentrarea pe lanțurile industriale legate de sectorul militar.
Vectorul exact de acces inițial utilizat pentru a compromite țintele este în prezent necunoscut, analiza Trend Micro dezvăluind implementarea unor programe malware personalizate precum CXCLNT și CLNTEND, folosind instrumente de desktop la distanță precum UltraVNC.
O similitudine interesantă observată la diferitele victime este prezența aceluiași software de planificare a resurselor întreprinderii (ERP), ceea ce ridică posibilitatea unui atac în lanțul de aprovizionare.
Lanțurile de atac trec ulterior prin trei etape distincte, concepute pentru a facilita escaladarea privilegiilor prin evitarea Controlului Contului Utilizatorului (UAC), extragerea acreditărilor și evitarea măsurilor de apărare prin dezactivarea produselor antivirus instalate pe gazde.
Ambele uși din spate sunt inițiate prin încărcarea laterală a unui DLL corupt prin intermediul aplicației Microsoft Word, permițând atacatorilor să colecteze o gamă largă de informații sensibile.
CXCLNT este echipat cu capabilități de bază de încărcare și descărcare a fișierelor, precum și funcții pentru ștergerea urmelor, colectarea de informații despre victimă, cum ar fi listele de fișiere și numele calculatoarelor, și descărcarea fișierelor executabile portabile (PE) și DLL pentru execuție ulterioară.
CLNTEND, detectat pentru prima dată în aprilie 2024, este un instrument de acces la distanță (RAT) care acceptă o gamă mai largă de protocoale de rețea pentru comunicare, inclusiv TCP, HTTP, HTTPS, TLS și SMB (portul 445).
„Consistența timpilor de compilare a fișierelor și intervalul de operare al actorilor amenințării, în concordanță cu alte activități legate de spionajul chinez, susțin evaluarea conform căreia această campanie este, cel mai probabil, desfășurată de un grup de amenințări vorbitor de limbă chineză încă neidentificat,” au declarat cercetătorii de securitate Pierre Lee și Vickie Su.