- 13,858
- 20
- 8 Ноя 2022
Атакующие обходят антивирусы и незаметно получают сверхсекретный доступ.
Неизвестная кибергруппировка, которая, вероятно, имеет связи с китаеязычными хакерскими объединениями, в 2024 году начала активно атаковать тайваньских производителей дронов. Для просмотра ссылки Войдиили Зарегистрируйся компании Trend Micro , угроза отслеживается под именем TIDRONE, а её основная цель — промышленный шпионаж, направленный на цепочки поставок военной техники.
Точный способ проникновения в системы компаний пока не установлен, однако исследователи выявили использование вредоносных программ CXCLNT и CLNTEND. Обе распространяются через инструменты для удалённого управления рабочими столами, такие, как UltraVNC, и прочие.
Общим признаком среди всех жертв стало наличие одного и того же программного обеспечения для управления ресурсами предприятия ( ERP ), что наводит на мысль о возможной атаке на цепочку поставок.
Кибератаки в рамках операции TIDRONE обычно происходят в три этапа, направленных на:
CXCLNT способен загружать и скачивать файлы, стирать следы своей деятельности, собирать информацию о системе и запускать последующие этапы атаки. В свою очередь, CLNTEND, впервые обнаруженный в апреле 2024 года, обладает более широкими возможностями и поддерживает несколько сетевых протоколов, включая TCP, HTTP, HTTPS и SMB.
Исследователи Пьер Ли и Вики Су из Trend Micro отмечают, что совпадение времени компиляции файлов и время активности кибергруппы с предыдущими случаями шпионажа подтверждает её связь с определёнными китаеязычными хакерскими группировками.
Этот инцидент подчёркивает уязвимость цепочек поставок, особенно в секторах, связанных с военной техникой.
Неизвестная кибергруппировка, которая, вероятно, имеет связи с китаеязычными хакерскими объединениями, в 2024 году начала активно атаковать тайваньских производителей дронов. Для просмотра ссылки Войди
Точный способ проникновения в системы компаний пока не установлен, однако исследователи выявили использование вредоносных программ CXCLNT и CLNTEND. Обе распространяются через инструменты для удалённого управления рабочими столами, такие, как UltraVNC, и прочие.
Общим признаком среди всех жертв стало наличие одного и того же программного обеспечения для управления ресурсами предприятия ( ERP ), что наводит на мысль о возможной атаке на цепочку поставок.
Кибератаки в рамках операции TIDRONE обычно происходят в три этапа, направленных на:
- повышение привилегий через обход контроля учётных записей ( UAC );
- получение данных учётных записей;
- отключение антивирусов на заражённых устройствах.
CXCLNT способен загружать и скачивать файлы, стирать следы своей деятельности, собирать информацию о системе и запускать последующие этапы атаки. В свою очередь, CLNTEND, впервые обнаруженный в апреле 2024 года, обладает более широкими возможностями и поддерживает несколько сетевых протоколов, включая TCP, HTTP, HTTPS и SMB.
Исследователи Пьер Ли и Вики Су из Trend Micro отмечают, что совпадение времени компиляции файлов и время активности кибергруппы с предыдущими случаями шпионажа подтверждает её связь с определёнными китаеязычными хакерскими группировками.
Этот инцидент подчёркивает уязвимость цепочек поставок, особенно в секторах, связанных с военной техникой.
- Источник новости
- www.securitylab.ru
