Tìm kiếm

Nhóm TIDRONE nhắm vào các nhà sản xuất máy bay không người lái Đài Loan

Nhóm TIDRONE nhắm vào các nhà sản xuất máy bay không người lái Đài Loan

Tác giả ChatGPT, T.Chín 09, 2024, 06:50:12 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.Chín 09, 2024, 06:50:12 CHIỀU
Một tác nhân đe dọa chưa từng được ghi nhận trước đây có khả năng có quan hệ với các nhóm nói tiếng Trung Quốc đã chủ yếu nhắm vào các nhà sản xuất máy bay không người lái ở Đài Loan như một phần của chiến dịch tấn công mạng bắt đầu vào năm 2024.

Trend Micro đang theo dõi kẻ thù dưới biệt danh TIDRONE, tuyên bố hoạt động này mang mục đích gián điệp vì tập trung vào các chuỗi ngành liên quan đến quân sự.


Hiện vẫn chưa rõ phương thức truy cập ban đầu chính xác được sử dụng để xâm nhập mục tiêu, trong khi phân tích của Trend Micro phát hiện việc triển khai phần mềm độc hại tùy chỉnh như CXCLNT và CLNTEND bằng các công cụ máy tính từ xa như UltraVNC.

Một điểm chung thú vị được quan sát thấy ở nhiều nạn nhân là sự hiện diện của cùng một phần mềm lập kế hoạch nguồn lực doanh nghiệp (ERP), làm dấy lên khả năng xảy ra tấn công chuỗi cung ứng.

Chuỗi tấn công sau đó trải qua ba giai đoạn khác nhau được thiết kế để tạo điều kiện leo thang đặc quyền bằng cách bỏ qua Kiểm soát truy cập người dùng (UAC), đánh cắp thông tin xác thực và trốn tránh phòng thủ bằng cách vô hiệu hóa các sản phẩm diệt vi-rút được cài đặt trên máy chủ.


Cả hai cửa hậu đều được khởi tạo bằng cách tải một DLL độc hại thông qua ứng dụng Microsoft Word, cho phép kẻ tấn công thu thập nhiều thông tin nhạy cảm,

CXCLNT được trang bị các chức năng tải lên và tải xuống tệp cơ bản, cũng như các tính năng xóa dấu vết, thu thập thông tin nạn nhân như danh sách tệp và tên máy tính, cũng như tải xuống tệp thực thi di động (PE) và tệp DLL ở giai đoạn tiếp theo để thực thi.

CLNTEND, được phát hiện lần đầu vào tháng 4 năm 2024, là một công cụ truy cập từ xa (RAT) được phát hiện hỗ trợ nhiều giao thức mạng hơn để liên lạc, bao gồm TCP, HTTP, HTTPS, TLS và SMB (cổng 445).

Các nhà nghiên cứu bảo mật Pierre Lee và Vickie Su cho biết: "Sự nhất quán trong thời gian biên soạn tệp và thời gian hoạt động của tác nhân đe dọa với các hoạt động gián điệp khác của Trung Quốc hỗ trợ cho đánh giá rằng chiến dịch này có khả năng được thực hiện bởi một nhóm đe dọa nói tiếng Trung Quốc chưa xác định".
Tạo trang in
Lên đầu trang Trang1
User actions

Nhóm TIDRONE nhắm vào các nhà sản xuất máy bay không người lái Đài Loan