حمله گروه جاسوسی تیدرون به تولیدکنندگان پهپاد در تایوان

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت ترند میکرو (Trend Micro) این عامل تهدید را تحت نام تیدرون (TIDRONE) ردیابی می‌کند و فعالیت‌های آن را با توجه به تمرکز بر زنجیره‌های صنعت مرتبط با صنایع نظامی، به عنوان فعالیت‌های جاسوسی ارزیابی می‌کند.

روش دقیق دسترسی اولیه که برای نفوذ به اهداف استفاده شده است، همچنان ناشناخته است.

تحلیل‌های ترند میکرو نشان می‌دهد که بدافزارهای سفارشی مانند CXCLNT و CLNTEND با استفاده از ابزارهای کنترل از راه دور مانند اولترا وی ان سی (UltraVNC) مورد استفاده قرار گرفته‌اند.

یک ویژگی مشترک جالب در میان قربانیان مختلف، وجود همان نرم‌افزار برنامه‌ریزی منابع سازمانی (ERP) است که احتمال حمله به زنجیره تأمین را مطرح می‌کند.

زنجیره‌های حمله از سه مرحله مختلف عبور می‌کنند که برای تسهیل افزایش سطح دسترسی با دور زدن کنترل دسترسی کاربران (UAC)، استخراج اعتبارنامه‌ها و پنهان‌سازی از طریق غیرفعال کردن محصولات آنتی‌ویروس نصب‌شده روی سیستم‌ها طراحی شده‌اند.

هر دو بدافزار از طریق بارگذاری یک DLL جعلی از طریق نرم‌افزار مایکروسافت وورد (Microsoft Word) فعال می‌شوند و به عاملان تهدید امکان می‌دهند طیف گسترده‌ای از اطلاعات حساس را به دست آورند.

بدافزار CXCLNT دارای قابلیت‌های پایه‌ای برای آپلود و دانلود فایل است، همچنین قابلیت پاک‌سازی ردپاها، جمع‌آوری اطلاعات قربانی مانند فهرست فایل‌ها و نام کامپیوتر، و دانلود فایل‌های اجرایی (PE) و DLL برای اجرای مراحل بعدی را دارد.

بدافزار CLNTEND نیز که اولین بار در آوریل 2024 شناسایی شد، یک ابزار دسترسی از راه دور (RAT) است که از پروتکل‌های شبکه متنوعی برای ارتباط، از جمله TCP، HTTP، HTTPS، TLS، و SMB (پورت 445) پشتیبانی می‌کند.

پژوهشگران امنیتی، پیر لی و ویکی سو بیان کردند:

ثبات در زمان‌های کامپایل فایل‌ها و زمان عملیات این عامل تهدید با دیگر فعالیت‌های مرتبط با جاسوسی چینی از این ارزیابی حمایت می‌کند که احتمالاً این کمپین توسط یک گروه چینی‌زبان که هنوز شناسایی نشده، انجام می‌شود.