Çince konuşan gruplarla muhtemel bağlantıları bulunan ve daha önce belgelenmemiş bir tehdit aktörü, 2024’te başlayan bir siber saldırı kampanyasının parçası olarak ağırlıklı olarak Tayvan’daki drone üreticilerini hedef aldı.
Trend Micro, saldırganı şu ad altında izliyor: TİDRONaskeri endüstri zincirlerine odaklanılması nedeniyle faaliyetin casusluk odaklı olduğunu belirterek,
Hedeflere erişmek için kullanılan kesin ilk erişim vektörü henüz bilinmiyor; Trend Micro’nun analizi, UltraVNC gibi uzak masaüstü araçlarını kullanarak CXCLNT ve CLNTEND gibi özel kötü amaçlı yazılımların dağıtıldığını ortaya çıkarıyor.
Farklı kurbanlarda gözlemlenen ilginç bir ortak özellik, aynı kurumsal kaynak planlama (ERP) yazılımının bulunmasıdır; bu da tedarik zinciri saldırısı olasılığını gündeme getirir.
Saldırı zincirleri daha sonra, Kullanıcı Erişim Kontrolü (UAC) atlama, kimlik bilgisi dökümü ve ana bilgisayarlara yüklenen antivirüs ürünlerini devre dışı bırakarak savunma kaçınması yoluyla ayrıcalık yükseltmeyi kolaylaştırmak üzere tasarlanmış üç farklı aşamadan geçer.
Her iki arka kapı da Microsoft Word uygulaması aracılığıyla sahte bir DLL’nin yan yüklenmesiyle başlatılır ve tehdit aktörlerinin çok çeşitli hassas bilgileri toplamasına olanak tanır.
CXCLNT, temel dosya yükleme ve indirme yeteneklerinin yanı sıra izleri temizleme, dosya listeleri ve bilgisayar adları gibi kurban bilgilerini toplama ve yürütme için bir sonraki aşama taşınabilir yürütülebilir (PE) ve DLL dosyalarını indirme özellikleriyle donatılmıştır.
İlk olarak Nisan 2024’te tespit edilen CLNTEND, TCP, HTTP, HTTPS, TLS ve SMB (port 445) dahil olmak üzere iletişim için daha geniş bir ağ protokolü yelpazesini destekleyen keşfedilmiş bir uzaktan erişim aracıdır (RAT).
Güvenlik araştırmacıları Pierre Lee ve Vickie Su, “Dosya derleme zamanlarındaki tutarlılık ve tehdit aktörünün operasyon zamanının diğer Çin casusluk faaliyetleriyle olan tutarlılığı, bu kampanyanın muhtemelen henüz tanımlanmamış Çince konuşan bir tehdit grubu tarafından yürütüldüğü değerlendirmesini destekliyor” dedi.