A TIDRONE a tajvani katonai és műholdas iparágakat célozza
A TIDRONE, egy kínai nyelvű csoportokhoz kapcsolódó, azonosítatlan kiberszereplő, jelentős érdeklődést mutatott a katonai vonatkozású ipari láncok, különösen a tajvani dróngyártók ágazata iránt. A csoport vállalati erőforrás-tervezési (ERP) szoftvereket vagy távoli hozzáférést használ fejlett kártevő eszközkészletek, például a CXCLNT és a CLNTEND telepítéséhez. A CXCLNT alapvető fájlfeltöltési és -letöltési képességekkel, valamint a nyomok törlésére, az áldozatokra vonatkozó információk, például fájllisták és számítógépnevek gyűjtésére, valamint további hordozható futtatható (PE) fájlok letöltésére alkalmas funkciókkal is rendelkezik. A CLNTEND egy újonnan felfedezett távoli hozzáférési eszköz (RAT), amelyet idén áprilisban használtak, és amely a hálózati protokollok szélesebb körét támogatja a kommunikációhoz. A VirusTotal telemetriája azt jelzi, hogy a célzott országok változatosak; ezért mindenkinek ébernek kell maradnia ezzel a fenyegetéssel kapcsolatban.
A Trend Micro jelentése a legújabb TTP-ket és az olyan eszközök fejlődését is vizsgálja, mint a CXCLNT és a CLNTEND, bemutatva a támadási láncot, hogy szemléltesse a kiberszereplő viselkedését az áldozatok rendszerein belül. A TTP-k megerősítik, hogy a fenyegető szereplők következetesen frissítik arzenáljukat és optimalizálják a támadási láncot. A betöltőprogramjaikban olyan anti-elemzési technikákat alkalmaznak, mint például a belépési pont címének ellenőrzése a szülőfolyamatból, és a széles körben használt alkalmazásprogramozási interfészek (API-k), például a GetProcAddress bekapcsolása a végrehajtási folyamat megváltoztatására.
