TIDRONE, група кіберзлочинців, імовірно пов’язана з китайськими угрупованнями, здійснила серію кібератак на тайванських виробників безпілотників, використовуючи спеціалізоване шкідливе програмне забезпечення для шпигунських цілей.
Нове шпигунське угруповання TIDRONE, яке, як повідомляється, пов’язане з китайською групою, націлилося на тайванських виробників безпілотників. За даними Trend Micro, атака була розпочата в 2024 році і має на меті отримати конфіденційну інформацію про військові технології. Основними інструментами зловмисників є спеціальні шкідливі програми CXCLNT і CLNTEND, які використовують інструменти віддаленого доступу, такі як UltraVNC, для управління системами. Вони використовують багатоступеневий ланцюжок атак для підвищення привілеїв, викрадення облікових даних та обходу антивірусного захисту. Їхньою основною метою є збір конфіденційної інформації за допомогою бекдору, завантаженого через файл DLL, пов’язаний з Microsoft Word.
Угруповання TIDRONE вперше з’явилося на початку 2024 року. Відомо, що вона використовує шкідливе програмне забезпечення, зокрема CXCLNT та CLNTEND, які мають можливість викрадати файли та комп’ютерну інформацію, а також завантажувати додаткові шкідливі програми. Аналіз атак показав, що всі жертви використовували одне і те ж програмне забезпечення ERP, що вказує на можливу атаку на ланцюжок поставок. Для передачі даних зловмисники використовують протоколи TCP, HTTP, HTTPS, TLS і SMB.
Кібератака TIDRONE на тайванського виробника безпілотників є частиною ширшої тенденції кібершпигунства у секторі військових технологій. Цей інцидент підкреслює необхідність посилення кіберзахисту і ретельного моніторингу підозрілої активності для захисту конфіденційної інформації від кіберзлочинців.