Um ator de ameaça anteriormente indocumentado, com possíveis ligações com grupos de língua chinesa, visou especificamente fabricantes de drones em Taiwan como parte de uma campanha de ataque cibernético que começou em 2024.
Trend Micro rastreia o inimigo sob o apelido TIDRONEafirmando que o trabalho é realizado por espionagem se o foco for em cadeias industriais relacionadas aos militares.
O vetor de acesso real usado para violar o alvo é atualmente desconhecido, com a análise da Trend Micro revelando a implantação de malware personalizado, como CXCLNT e CLNTEND, usando ferramentas de desktop remoto, como UltraVNC.
Um ponto em comum interessante observado entre as diferentes vítimas é a presença do mesmo software de planeamento de recursos empresariais (ERP), o que levanta a possibilidade de um ataque à cadeia de abastecimento.
As cadeias de ataque passam então por três estágios diferentes projetados para facilitar o escalonamento de privilégios por meio do desvio do Controle de Acesso do Usuário (UAC), do despejo de credenciais e da evasão da proteção ao desabilitar produtos antivírus instalados nos hosts.
Ambos os backdoors são lançados através do sideload de uma DLL robusta através do programa Microsoft Word, permitindo que atores mal-intencionados coletem uma ampla gama de informações confidenciais,
O CXCLNT vem equipado com recursos básicos de upload e download de arquivos, bem como recursos para apagar rastros, coletar informações da vítima, como listas de arquivos e nomes de computadores, e baixar arquivos executáveis (PE) e DLL de próximo nível para uso.
CLNTEND, descoberto pela primeira vez em abril de 2024, é uma ferramenta de acesso remoto (RAT) que oferece suporte a uma ampla variedade de protocolos de comunicação de rede, incluindo TCP, HTTP, HTTPS, TLS e SMB (porta 445).
“A consistência nos tempos de compilação de arquivos e no tempo de execução do agente da ameaça e outras atividades relacionadas à espionagem chinesa apoiam a avaliação de que esta campanha pode ter sido realizada por um grupo de ameaças de língua chinesa neste momento”, os pesquisadores de segurança Pierre Lee e Vickie. Su disse.
