Аналитический центр AhnLab SEcurity (ASEC) сообщает о новых атаках, совершаемых группой угроз TIDRONE на различные компании. В ходе атак использовалось программное обеспечение для планирования ресурсов предприятия (ERP), чтобы установить вредоносное ПО с бэкдором под названием CLNTEND. Группа TIDRONE известна своими атаками на тайваньские оборонные компании и производителей беспилотников. Она нацелена на несколько стран, помимо Тайваня, и использует китайский язык. Группа также использует программное обеспечение для удаленного рабочего стола UltraVNC для распространения вредоносных программ.
TIDRONE APT
Аналитики AhnLab SEcurity подтверждают, что вредоносная программа CLNTEND была использована в атаках на корейские компании в первой половине 2024 года. После июля 2024 года группа TIDRONE начала эксплуатировать корейское ERP-программное обеспечение. Разработчиками этого программного обеспечения, по всей видимости, являются небольшие компании, и официальные сайты программы недоступны. Вредоносные программы-загрузчики TIDRONE распространяются через поддельные DLL-файлы, используя исполняемый файл winword.exe и другие программы, такие как VsGraphicsDesktopEngine.exe и rc.exe.
Анализ вредоносного ПО, используемого TIDRONE, показывает, что оно состоит из легитимных исполняемых файлов, DLL-библиотек, отвечающих за загрузку, и зашифрованного CLNTEND. Злоумышленники используют различные типы загрузчиков, чтобы затруднить анализ, и также применяют техники обфускации и шифрования для защиты от обнаружения. CLNTEND является вредоносной программой типа RAT, которая поддерживает различные протоколы связи, включая TCP, TLS, HTTP, HTTPS и SMB.
Злоумышленники также распространяют вредоносные программы Loader, зашифрованные данные и Launcher, которые отвечают за выполнение файлов по определенному пути. Вредоносные программы обладают жестко заданными именами путей и файлов, что позволяет исследователям получить информацию о пути установки и имени файла вредоносной программы.
Группа TIDRONE продолжает свои атаки на различные компании, используя программное обеспечение ERP для распространения вредоносных программ. Это представляет серьезную угрозу для компаний, особенно тех, которые используют ERP-программы, разработанные небольшими компаниями. Для защиты от таких атак, компаниям рекомендуется обновлять свое программное обеспечение, внедрять многоуровневую защиту и обучать своих сотрудников, чтобы они были более бдительными в отношении подозрительных вложений и ссылок.
Indicators of Compromise
Domains
- ac.metyp9.com
- server.microsoftsvc.com
MD5
- 11529c342d150647a020145da873ea98
- 127c722bf973d850ee085ab863257692
- 26ff6fac8ac83ece36b95442f5bb81ce
- 30c0796aa5d7ba9ea3790a0210ec9840
- 314f239e2ba3fbf6b9e6b4f13ee043e7
