Araştırmacılar tarafından “TIDrone” olarak adlandırılan bir tehdit aktörü, özellikle Tayvan’daki drone üreticileri olmak üzere askeri ve uydu bağlantılı endüstriyel tedarik zincirlerini aktif olarak hedef alıyor.
Bu, TIDrone’u diğer Çince konuşan gruplarla ilişkilendiren ve bunun kullandığını belirten Trend Micro’ya göre; kurumsal kaynak planlama (ERP) yazılımı veya gelişmiş, tescilli kötü amaçlı yazılımları dağıtmak için uzak masaüstü araçları.
“2024’ün başından bu yana Tayvan’dan olay müdahale vakaları alıyoruz” diyor bir analiz “şirketten.”[However]VirusTotal’den alınan telemetri, hedef ülkelerin çeşitlilik gösterdiğini gösteriyor; dolayısıyla herkes bu tehdide karşı dikkatli olmalı.”
Uzmanlaşmış araç setleri arasında dosyaları yükleyebilen ve indirebilen, dosya listeleri ve bilgisayar adları gibi kurban bilgilerini toplayabilen ve gizlilik yetenekleriyle birlikte gelen “CXCLNT” yer alıyor. Bir diğer silah ise, ilk olarak geçen Nisan ayında görülen ve iletişim için çok çeşitli ağ protokollerini destekleyen bir uzaktan erişim aracı (RAT) olan “CLNTEND”.
TIDrone bir hedefi tehlikeye attığında, kullanıcı hesabı denetimi (UAC) atlama tekniklerini, kimlik bilgisi dökümünü ve hacktool kullanımını devreye sokar. antivirüs ürünlerini devre dışı bırakAnalize göre;
Araştırmacılar, “Tehdit aktörleri cephaneliklerini sürekli olarak güncellediler ve saldırı zincirini optimize ettiler,” diye belirtti. “Özellikle, yükleyicilerinde, ana işlemden giriş noktası adresini doğrulama ve yürütme akışını değiştirmek için GetProcAddress gibi yaygın olarak kullanılan uygulama programlama arayüzlerini (API’ler) bağlama gibi anti-analiz teknikleri kullanılıyor.”
