Gli analisti di Trend Micro hanno riferito della scoperta di un gruppo di hacker precedentemente sconosciuto chiamato Tidrone. Gli aggressori stanno prendendo di mira l’industria militare e satellitare di Taiwan, principalmente i produttori di droni.
Il gruppo, ritenuto legato alla Cina, mira principalmente allo spionaggio e si concentra quindi sulle catene industriali legate all’industria militare, dicono i ricercatori.
Non è ancora chiaro come esattamente Tidrone penetri nelle reti delle sue vittime, ovvero non è noto il vettore di accesso iniziale. Ma l’analisi ha mostrato che dopo la compromissione iniziale, gli hacker distribuiscono malware personalizzati CXCLNT e CLNTEND sui sistemi delle vittime, utilizzando strumenti desktop remoti come UltraVNC.
Advertising
L’attacco successivo comprende altre tre fasi che mirano ad aumentare i privilegi aggirando il controllo dell’account utente (UAC), rubando le credenziali e aggirando la protezione disabilitando i prodotti antivirus installati sugli host.
I ricercatori hanno anche notato che molte delle vittime del gruppo di hacker condividono lo stesso software ERP (Enterprise Resource Planning), suggerendo che si tratti probabilmente di un attacco alla catena di fornitura.
Entrambe le backdoor sopra menzionate vengono lanciate tramite sideloading DLL tramite Microsoft Word e consentono agli aggressori di raccogliere un’ampia gamma di informazioni sensibili.
CXCLNT è dotato di funzionalità di base per caricare e scaricare file, funzioni per ripulire le tracce, raccogliere informazioni sulle vittime (elenchi di file, nomi di computer, ecc.), nonché caricare file PE e DLL per le fasi successive dell’attacco.
Individuato per la prima volta nell’aprile 2024, CLNTEND è un RATche supporta un’ampia gamma di protocolli di rete per la comunicazione, inclusi TCP, HTTP, HTTPS, TLS e SMB (porta 445).
Advertising
Poco dopo Trend Micro, i ricercatori Acronis hanno pubblicato il proprio rapporto su questa attività dannosa. In questo caso, la campagna viene monitorata con il nome di Operazione WordDrone e i ricercatori scrivono che gli attacchi sono stati osservati tra aprile e luglio 2024.
Secondo Acronis, gli attacchi di questo gruppo sono caratterizzati dall’utilizzo della tecnica di attacco Blindside per eludere il rilevamento prima di implementare CLNTEND (noto anche come ClientEndPoint).
“A Taiwan ci sono circa una dozzina di aziende coinvolte nella produzione di droni, spesso per gli OEM, e anche di più se si considera la loro industria aerospaziale globale. Il Paese è sempre stato un alleato degli Stati Uniti e questo, combinato con la forte base tecnologica di Taiwan, lo rende un obiettivo importante per gli aggressori interessati allo spionaggio militare o agli attacchi alla catena di approvvigionamento”, ha affermato Acronis.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.