09 de septiembre de 2024Ravie LakshmananAtaque cibernético / Inteligencia de amenazas Un actor de amenazas previamente indocumentado con posibles vínculos con grupos de habla china ha señalado predominantemente a los fabricantes de drones en Taiwán como parte de una campaña de ciberataque que comenzó en 2024. Trend Micro está rastreando al adversario bajo el apodo de TIDRONE, afirmando que la actividad está impulsada por el espionaje dado el enfoque en las cadenas industriales relacionadas con el ejército. El vector de acceso inicial exacto utilizado para violar los objetivos es actualmente desconocido, y el análisis de Trend Micro descubrió la implementación de malware personalizado como CXCLNT y CLNTEND utilizando herramientas de escritorio remoto como UltraVNC. Una característica común interesante observada en diferentes víctimas es la presencia del mismo software de planificación de recursos empresariales (ERP), lo que aumenta la posibilidad de un ataque a la cadena de suministro. Las cadenas de ataque pasan posteriormente por tres etapas diferentes que están diseñadas para facilitar la escalada de privilegios mediante una omisión del Control de acceso de usuario (UAC), el volcado de credenciales y la evasión de defensa mediante la desactivación de los productos antivirus instalados en los hosts. Ambas puertas traseras se inician mediante la carga lateral de una DLL maliciosa a través de la aplicación Microsoft Word, lo que permite a los actores de la amenaza recopilar una amplia gama de información confidencial. CXCLNT viene equipado con capacidades básicas de carga y descarga de archivos, así como funciones para borrar rastros, recopilar información de la víctima, como listados de archivos y nombres de computadora, y descargar archivos ejecutables portátiles (PE) y DLL de la siguiente etapa para su ejecución. CLNTEND, detectado por primera vez en abril de 2024, es una herramienta de acceso remoto (RAT) descubierta que admite una gama más amplia de protocolos de red para la comunicación, incluidos TCP, HTTP, HTTPS, TLS y SMB (puerto 445). «La coherencia entre los tiempos de compilación de archivos y el tiempo de operación del actor de la amenaza y otras actividades relacionadas con el espionaje chino respaldan la evaluación de que es probable que esta campaña la esté llevando a cabo un grupo de amenazas de habla china aún no identificado», dijeron los investigadores de seguridad Pierre Lee y Vickie Su. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.