Malware-attacker mot drönartillverkare

Föråldrade versioner av Microsoft Word används

IT-säkerhetsföretaget Acronis forskningsteam har avslöjat tekniska detaljer om en hackergrupp som riktar in sig på drönartillverkare i Taiwan genom att använda en föråldrad version av Microsoft Word.

Cyberbrottslingar har attackerat drönartillverkare i Taiwan genom att utnyttja en sårbarhet i en 14 år gammal version av Windows Word. IT-säkerhetsföretaget Acronis Threat Research Unit (TRU) har kunnat avslöja de verktyg och tekniker som gruppen Acronis kallar för ”WordDrone” använder i sin skadliga kod, däribland EDRSilencer och Blindside. Dessutom har TRU genomfört en djupgående analys av ClientEndPoint.dll, det sista stadiet av attacken som utförs i två viktiga steg.

Ytterligare analyser av kommando- och kontrollkommunikation, samt detaljerade resultat av åtgärder efter attacken, ingår också i studien.

XDR-lösning upptäckte misstänkta händelser
Acronis upptäckte en avvikelse i 2010-versionen av Microsoft Word när en kund slog larm eftersom Acronis XDR-lösning hade upptäckt misstänkt aktivitet i Winword men inte kunde avgöra vilket dokument som laddades. Begäran var ovanlig på grund av att en sökväg och kommandorad användes med en aldrig tidigare skådad parameter, ”SvcLoad”, en belastningsnivå, samtidigt som den rapporterade att en annan version av Winword redan var implementerad på arbetsstationen. Det kunde sedan konstateras att 2010 års version av Winword användes och konfigurerades som en engångstjänst för hackarna, och Acronis reagerade på incidenten.

Mindre företag är i riskzonen
Förekomsten av gamla Winword-versioner betyder inte att det finns skadlig kod, men när det också finns en ovanlig kommandorad och inga tecken på att ett dokument öppnas, bör man vara orolig. Hackare riktar vanligtvis in sig på små och medelstora företag med denna typ av attack, eftersom det inte handlar om storleken utan om att skaffa sig insikt i affärsdata.

I Taiwan har drönarindustrin vuxit betydligt sedan 2022, och eftersom landet alltid har varit allierat med USA är dess tillverkare ett mål för spionage och attacker mot leveranskedjan.

Den fullständiga rapporten med en djupgående teknisk analys av WordDrone finns här.

9/16/2024 - Industritorget