Nhóm tin tặc TIDRONE nhắm vào các nhà sản xuất máy bay không người lái Đài Loan
Một tác nhân đe dọa chưa được ghi nhận trước đây đã nhắm mục tiêu vào các nhà sản xuất máy bay không người lái ở Đài Loan trong chiến dịch tấn công mạng bắt đầu vào năm 2024.
Công ty an ninh mạng Trend Micro (Mỹ) đang theo dõi nhóm tin tặc dưới biệt danh TIDRONE và cho rằng hoạt động này là do gián điệp thúc đẩy vì tập trung vào các chuỗi ngành liên quan đến quân sự.
Hiện tại, vẫn chưa rõ vectơ truy cập ban đầu chính xác được sử dụng để xâm phạm mục tiêu, tuy nhiên với phân tích của Trend Micro đã phát hiện ra việc triển khai phần mềm độc hại tùy chỉnh như CXCLNT và CLNTEND bằng các công cụ máy tính để bàn từ xa như UltraVNC.
Một điểm chung thú vị được quan sát thấy ở các nạn nhân khác nhau là sự hiện diện của cùng một phần mềm lập kế hoạch nguồn lực doanh nghiệp (ERP), làm tăng khả năng xảy ra một cuộc tấn công chuỗi cung ứng.
Chuỗi tấn công sau đó trải qua ba giai đoạn khác nhau được thiết kế để tạo điều kiện leo thang đặc quyền bằng cách bỏ qua Kiểm soát truy cập người dùng (UAC), đánh cắp thông tin xác thực và trốn tránh phòng thủ bằng cách vô hiệu hóa các sản phẩm diệt virus được cài đặt trên máy chủ.
Cả hai backdoor đều được khởi tạo bằng cách tải một DLL độc hại qua ứng dụng Microsoft Word, cho phép các tác nhân đe dọa thu thập nhiều thông tin nhạy cảm.
CXCLNT được trang bị các khả năng tải lên và tải xuống tệp cơ bản, cũng như các tính năng để xóa dấu vết, thu thập thông tin nạn nhân như danh sách tệp và tên máy tính, cũng như tải xuống tệp thực thi di động (PE) và tệp DLL giai đoạn tiếp theo để thực thi.
CLNTEND lần đầu tiên được phát hiện vào tháng 4/2024, là một công cụ truy cập từ xa (RAT), hỗ trợ nhiều giao thức mạng để giao tiếp (bao gồm TCP, HTTP, HTTPS, TLS và SMB (cổng 445)).
Các nhà nghiên cứu bảo mật Pierre Lee và Vickie Su cho biết: “Sự nhất quán về thời gian biên dịch tệp và thời gian hoạt động của tác nhân đe dọa với các hoạt động gián điệp khác của Trung Quốc hỗ trợ cho đánh giá rằng chiến dịch này có khả năng được thực hiện bởi một nhóm tin tặc nói tiếng Trung Quốc chưa được xác định”.