Эксперты по кибербезопасности из компании Trend Micro раскрыли информацию о новой хакерской группировке под названием Tidrone, которая представляет серьезную угрозу для военной и спутниковой промышленности Тайваня. Особое внимание злоумышленники уделяют производителям беспилотных летательных аппаратов, что указывает на целенаправленную кампанию промышленного шпионажа.
Методы и инструменты атаки
Хотя точный вектор первоначального проникновения Tidrone в сети жертв остается неизвестным, исследователи выявили ключевые этапы атаки после компрометации систем. Злоумышленники используют инструменты удаленного доступа, такие как UltraVNC, для развертывания двух видов вредоносного ПО: CXCLNT и CLNTEND.
Этапы атаки после проникновения
После первичного заражения атака Tidrone развивается в три основных этапа:
- Повышение привилегий путем обхода User Account Control (UAC)
- Кража учетных данных пользователей
- Отключение антивирусного ПО для обхода защиты
Анализ вредоносного ПО
Оба бэкдора, CXCLNT и CLNTEND, запускаются с использованием техники DLL sideloading через Microsoft Word. Это позволяет злоумышленникам собирать широкий спектр конфиденциальной информации, оставаясь незамеченными.
Возможности CXCLNT
CXCLNT обладает следующими функциями:
- Загрузка и выгрузка файлов
- Зачистка следов активности
- Сбор информации о системах жертв
- Загрузка дополнительных вредоносных модулей
Особенности CLNTEND
CLNTEND, впервые обнаруженный в апреле 2024 года, представляет собой более продвинутый инструмент удаленного доступа (RAT). Он поддерживает широкий спектр сетевых протоколов для коммуникации, включая TCP, HTTP, HTTPS, TLS и SMB (порт 445), что значительно усложняет его обнаружение и блокировку.
Связь с атакой на цепочку поставок
Исследователи Trend Micro отмечают, что многие жертвы Tidrone используют одно и то же программное обеспечение для планирования ресурсов предприятия (ERP). Это указывает на возможную атаку на цепочку поставок, что значительно расширяет потенциальный масштаб угрозы.
Дополнительные исследования
Компания Acronis также опубликовала отчет об этой вредоносной активности, назвав кампанию «Operation WordDrone». По данным Acronis, атаки наблюдались с апреля по июль 2024 года. Исследователи отмечают использование техники Blindside для уклонения от обнаружения перед развертыванием CLNTEND.
Тайвань, являясь союзником США и обладая сильной технологической базой, представляет собой привлекательную цель для кибершпионажа. Около десятка тайваньских компаний участвуют в производстве беспилотников, часто для OEM-производителей, что делает их уязвимыми для атак на цепочки поставок и промышленного шпионажа.
Обнаружение Tidrone подчеркивает растущую сложность и целенаправленность кибератак на критически важные отрасли промышленности. Организациям, особенно в военном и аэрокосмическом секторах, настоятельно рекомендуется усилить меры кибербезопасности, регулярно обновлять системы защиты и проводить аудиты безопасности для выявления потенциальных уязвимостей.