- Peneliti keamanan di Trend Micro telah menemukan aktor ancaman yang sebelumnya tidak dikenal, TIDRONE, yang menyerang pembuat drone Taiwan.
- Kelompok ini diyakini didukung oleh China, tetapi hal ini belum dapat dikonfirmasi.
- Tujuan serangan ini juga belum bisa dipastikan, tetapi mengingat serangan ini ditujukan kepada produsen pesawat nirawak milik militer, kemungkinan besar motifnya adalah spionase.
Aktor ancaman yang sebelumnya tidak dikenal bernama TIDRONE telah menyerang produsen drone di Taiwan, khususnya rantai industri terkait militer.
Penemuan ini dilakukan oleh Trend Micro. Mereka juga menemukan bahwa kelompok tersebut menggunakan dua malware untuk menargetkan korbannya: CXCLNT dan CLNTEND. Keduanya diterapkan melalui perangkat lunak perencanaan sumber daya perusahaan (ERP) dan desktop jarak jauh.
Faktanya, dalam semua serangan yang telah tercatat sejauh ini, perangkat lunak perencanaan sumber daya perusahaan (ERP) yang sama yang disusupi. Ini mungkin mengindikasikan serangan berantai.
Lebih Lanjut Tentang Malware
Kami tidak tahu banyak tentang malware tersebut kecuali fakta bahwa CXCLNT umumnya digunakan untuk mengumpulkan informasi korbanmenghapus jejak pembobolan serta pengunggahan dan pengunduhan file.
Di sisi lain, CLNTEND (yang baru mulai digunakan kelompok tersebut pada bulan April) adalah alat akses jarak jauh yang tidak terdeteksi (RAT) yang mendukung berbagai protokol jaringan untuk komunikasi, seperti HTTP, HTTPS, TCP, TLS, dan SMB (port 445), yang semakin memperkuat kemampuan mereka.
Setelah penyelidikan lebih lanjut, ditemukan pula bahwa komponen terkait malware diunduh melalui UltraVNC. Selain itu, backdoor CXCLNT dan CLNTEND juga diluncurkan dengan melakukan sideloading DLL berbahaya melalui Microsoft Word.
Trend Micro belum merilis rincian lengkap mekanisme serangan, tetapi kita tahu bahwa ini adalah proses 3 tahap yang terdiri dari Bypass UAC, pembuangan kredensial, dan penonaktifan antivirus.
Siapa di Balik Kelompok Ini?
Belum ada nama resmi yang diungkapkan, namun Trend Micro yakin bahwa Tiongkok mungkin ada hubungannya dengan hal ini.
“Konsistensi dalam waktu kompilasi berkas dan waktu operasi pelaku ancaman dengan aktivitas spionase Tiongkok lainnya mendukung penilaian bahwa kampanye ini kemungkinan dilakukan oleh kelompok ancaman berbahasa Tiongkok yang belum teridentifikasi.” – Peneliti keamanan Pierre Lee dan Vickie Su
Bagian terburuknya adalah ini Aktor ancaman terus memperbarui alat dan mekanisme serangan merekasehingga makin sulit untuk menangkap mereka. Untuk lebih menghindari deteksi, mereka kini menggunakan teknik anti-analisis dalam pemuat mereka.
Misalnya, memverifikasi alamat titik masuk dari proses induk dan menghubungkan API umum, seperti GetProcAddress, untuk mengontrol atau mengubah alur eksekusi.