Експерти з кібербезпеки компанії Trend Micro виявили нову хакерську групу під назвою Tidrone, яка спеціалізується на атаках проти військової та супутникової промисловості Тайваню. Основною мішенню зловмисників стали виробники безпілотних літальних апаратів (БПЛА). Аналітики вважають, що група може бути пов’язана з Китаєм і переслідує цілі промислового шпигунства.
Методи проникнення та інструменти атаки
Хоча точний вектор початкового доступу залишається невідомим, дослідники встановили, що після компрометації систем хакери розгортають кастомне шкідливе програмне забезпечення CXCLNT та CLNTEND. Для цього використовуються інструменти віддаленого робочого столу, зокрема UltraVNC. Подальша атака включає три етапи:
- Підвищення привілеїв шляхом обходу User Account Control (UAC)
- Викрадення облікових даних
- Відключення антивірусного захисту на заражених хостах
Особливості шкідливого ПЗ Tidrone
Обидва бекдори, CXCLNT та CLNTEND, запускаються за допомогою техніки DLL sideloading через Microsoft Word. Це дозволяє зловмисникам збирати широкий спектр конфіденційної інформації. CXCLNT має базові можливості для завантаження та вивантаження файлів, функції для знищення слідів атаки, збору інформації про жертв та завантаження додаткових PE- і DLL-файлів для наступних етапів атаки.
CLNTEND, вперше виявлений у квітні 2024 року, є більш просунутим інструментом віддаленого доступу (RAT). Він підтримує широкий спектр мережевих протоколів для комунікації, включаючи TCP, HTTP, HTTPS, TLS та SMB (порт 445).
Додаткові дослідження та Operation WordDrone
Незабаром після публікації Trend Micro, компанія Acronis оприлюднила власний звіт про цю шкідливу активність під назвою Operation WordDrone. За даними Acronis, атаки спостерігалися з квітня по липень 2024 року. Дослідники відзначили використання техніки Blindside для ухилення від виявлення перед розгортанням CLNTEND (також відомого як ClientEndPoint).
Стратегічне значення атак на тайванську промисловість
Експерти Acronis підкреслюють стратегічну важливість Тайваню як мішені для кібератак: “На Тайвані налічується близько десятка компаній, що беруть участь у виробництві безпілотників — часто для OEM-виробників, — і ще більше, якщо розглядати їх глобальну аерокосмічну промисловість. Країна завжди була союзником США, і це, у поєднанні з сильною технологічною базою Тайваню, робить їх великою мішенню для зловмисників, зацікавлених у військовому шпигунстві або атаках на ланцюжки поставок”.
Виявлення групи Tidrone підкреслює зростаючу загрозу кібершпигунства для високотехнологічних галузей, особливо в геополітично чутливих регіонах. Організаціям, пов’язаним з військовою та аерокосмічною промисловістю, рекомендується посилити заходи кібербезпеки, регулярно оновлювати системи захисту та проводити аудит вразливостей для протидії подібним цілеспрямованим атакам.