Ein bisher nicht dokumentierter Angreifer mit mutmaßlichen Verbindungen zu chinesischsprachigen Gruppen hat seit Beginn einer Cyber-Angriffskampagne im Jahr 2024 vor allem Drohnenhersteller in Taiwan ins Visier genommen.
Trend Micro verfolgt den Angreifer unter dem Namen TIDRONE und erklärt, dass die Aktivitäten auf Spionage abzielen, da der Schwerpunkt auf militärnahen Industrieketten liegt.
Der genaue anfängliche Zugriffsvektor, der für die Kompromittierung der Ziele genutzt wurde, ist derzeit unbekannt. Die Analyse von Trend Micro ergab, dass maßgeschneiderte Malware wie CXCLNT und CLNTEND unter Verwendung von Remote-Desktop-Tools wie UltraVNC eingesetzt wurde.
Eine interessante Gemeinsamkeit, die bei verschiedenen Opfern beobachtet wurde, ist das Vorhandensein derselben Enterprise-Resource-Planning-Software (ERP), was die Möglichkeit eines Lieferkettenangriffs erhöht.
Die Angriffsketten durchlaufen anschließend drei verschiedene Phasen, die darauf ausgelegt sind, die Rechteausweitung durch Umgehung der Benutzerkontensteuerung (UAC), das Abgreifen von Anmeldeinformationen und die Umgehung der Verteidigung durch Deaktivierung der auf den Hosts installierten Antivirenprodukte zu ermöglichen.
Beide Backdoors werden durch Sideloading einer manipulierten DLL über die Microsoft Word-Anwendung gestartet, wodurch die Angreifer eine Vielzahl sensibler Informationen abgreifen können.
CXCLNT verfügt über grundlegende Funktionen zum Hoch- und Herunterladen von Dateien sowie über Funktionen zum Löschen von Spuren, zum Sammeln von Opferinformationen wie Dateilisten und Computernamen sowie zum Herunterladen von portablen ausführbaren Dateien (PE) und DLL-Dateien der nächsten Stufe zur Ausführung.
CLNTEND, das erstmals im April 2024 entdeckt wurde, ist ein entdecktes Remote-Access-Tool (RAT), das eine größere Bandbreite an Netzwerkprotokollen für die Kommunikation unterstützt, darunter TCP, HTTP, HTTPS, TLS und SMB (Port 445).
„Die Übereinstimmung der Dateikompilationszeiten und die Operationszeit des Angreifers mit anderen chinesischen Spionage-Aktivitäten stützen die Einschätzung, dass diese Kampagne wahrscheinlich von einer noch nicht identifizierten chinesischsprachigen Bedrohungsgruppe durchgeführt wird“, so die Sicherheitsforscher Pierre Lee und Vickie Su.