Nhóm tin tặc TIDRONE nhắm vào các nhà sản xuất máy bay không người lái Đài Loan

16:16 | 25/09/2024

Một tác nhân đe dọa chưa được ghi nhận trước đây đã nhắm mục tiêu vào các nhà sản xuất máy bay không người lái ở Đài Loan trong chiến dịch tấn công mạng bắt đầu vào năm 2024.

Công ty an ninh mạng Trend Micro (Mỹ) đang theo dõi nhóm tin tặc dưới biệt danh TIDRONE và cho rằng hoạt động này là do gián điệp thúc đẩy vì tập trung vào các chuỗi ngành liên quan đến quân sự. Hiện tại, vẫn chưa rõ vectơ truy cập ban đầu chính xác được sử dụng để xâm phạm mục tiêu, tuy nhiên với phân tích của Trend Micro đã phát hiện ra việc triển khai phần mềm độc hại tùy chỉnh như CXCLNT và CLNTEND bằng các công cụ máy tính để bàn từ xa như UltraVNC. Một điểm chung thú vị được quan sát thấy ở các nạn nhân khác nhau là sự hiện diện của cùng một phần mềm lập kế hoạch nguồn lực doanh nghiệp (ERP), làm tăng khả năng xảy ra một cuộc tấn công chuỗi cung ứng. Chuỗi tấn công sau đó trải qua ba giai đoạn khác nhau được thiết kế để tạo điều kiện leo thang đặc quyền bằng cách bỏ qua Kiểm soát truy cập người dùng (UAC), đánh cắp thông tin xác thực và trốn tránh phòng thủ bằng cách vô hiệu hóa các sản phẩm diệt virus được cài đặt trên máy chủ. Cả hai backdoor đều được khởi tạo bằng cách tải một DLL độc hại qua ứng dụng Microsoft Word, cho phép các tác nhân đe dọa thu thập nhiều thông tin nhạy cảm. CXCLNT được trang bị các khả năng tải lên và tải xuống tệp cơ bản, cũng như các tính năng để xóa dấu vết, thu thập thông tin nạn nhân như danh sách tệp và tên máy tính, cũng như tải xuống tệp thực thi di động (PE) và tệp DLL giai đoạn tiếp theo để thực thi. CLNTEND lần đầu tiên được phát hiện v...

Để lại bình luận