Аналитики Trend Micro сообщили об обнаружении ранее неизвестной хакерской группировки Tidrone. Злоумышленники нацелены на военную и спутниковую промышленность Тайваня, и атакуют преимущественно производителей беспилотников.
По словам исследователей, целью этой группы, предположительно связанной с Китаем, в основном является шпионаж, поэтому она сосредоточена на промышленных цепочках, связанных с военной промышленностью.
Пока неясно, как именно Tidrone проникает в сети своих жертв, то есть вектор первоначального доступа неизвестен. Зато анализ показал, что после исходной компрометации хакеры развертывают в системах жертв кастомную малварь CXCLNT и CLNTEND, используя для этого такие инструменты удаленного рабочего стола, как UltraVNC.
Последующая атака включает еще три этапа, которые направлены на повышение привилегий путем обхода User Account Control (UAC), хищение учетных данных и обход защиты путем отключения антивирусных продуктов, установленных на хостах.
Также исследователи отметили, что многих жертв этой хак-группы объединяет использование одного и того же неназванного ПО для планирования ресурсов предприятия (ERP), то есть, вероятно, речь идет об атаке на цепочку поставок.
Оба упомянутых выше бэкдора запускаются путем DLL sideloading'а через Microsoft Word, и позволяют злоумышленникам собирать широкий спектр конфиденциальной информации.
CXCLNT оснащен базовыми возможностями для загрузки и выгрузки файлов, функциями для зачистки следов, сбора информации о жертвах (списки файлов, имена компьютеров и так далее), а также загрузки PE- и DLL-файлов для следующих этапов атаки.
CLNTEND, впервые замеченный еще в апреле 2024 года, представляет собой RAT, который поддерживает широкий спектр сетевых протоколов для связи, включая TCP, HTTP, HTTPS, TLS и SMB (порт 445).
Вскоре после Trend Micro, собственный отчет об этой вредоносной активности опубликовали исследователи Acronis. В данном случае кампания отлеживается под названием Operation WordDrone, и исследователи пишут, что атаки наблюдались в период с апреля по июль 2024 года.
По данным Acronis, для атак этой группы характерно использование техники атак Blindside для уклонения от обнаружения перед развертыванием CLNTEND (он же ClientEndPoint).
«На Тайване насчитывается около десятка компаний, участвующих в производстве беспилотников — часто для OEM-производителей, — и еще больше, если рассматривать их глобальную аэрокосмическую промышленность. Страна всегда была союзником США, и это, в сочетании с сильной технологической базой Тайваня, делает их крупной мишенью для злоумышленников, заинтересованных в военном шпионаже или атаках на цепочки поставок», — сообщили в Acronis.
