IT-sikkerhedsvirksomheden Acronis’ forskningsgruppe har opfanget tekniske detaljer omkring en hackergruppe, som går målrettet efter droneproducenter i Taiwan ved at bruge en forældet version af Microsoft Word.

IT-kriminelle har angrebet droneproducenter i Taiwan ved at udnytte en sårbarhed i en 14 år gammel version af Windows Word.

Forældede versioner af Microsoft Word bruges til malware angreb mod droneproducenterIt-sikkerhedsvirksomheden Acronis’ Threat Research-gruppe (TRU) har været i stand til at afsløre de værktøjer og teknikker, som gruppen navngivet ”WordDrone” af Acronis, bruger i malwaren, herunder EDRSilencer og Blindside.

Derudover har TRU lavet en dybdegående analyse af ClientEndPoint.dll, det sidste stadie af angrebet, som udføres i to vigtige trin.

Yderligere analyser af kommando- og kontrolkommunikation samt detaljerede fund af handlinger efter angrebet er også inkluderet i undersøgelsen.

XDR-løsning opdagede mistænkelige hændelser

Acronis opdagede en usædvanlighed i 2010-versionen af Microsoft Word, da en kunde slog alarm, fordi Acronis XDR-løsning havde opdaget mistænkelig aktivitet i Winword, men ikke kunne afgøre, hvilket dokument der blev indlæst. Anmodningen var usædvanlig på grund af en sti og kommandolinje, der blev brugt med en hidtil uset “SvcLoad”-parameter, en belastningsgrad, mens den samtidig rapporterede, at en anden version af Winword allerede var implementeret på arbejdsstationen. Det blev derefter fastslået, at 2010-versionen af Winword blev brugt og sat op som en engangstjeneste for hackerne, og Acronis reagerede på hændelsen.

Mindre virksomheder står for skud

Tilstedeværelsen af gamle Winword-versioner er ikke ensbetydende med malware, men når der samtidig er en usædvanlig kommandolinje og ingen tegn på at et dokument åbnes, så skal man blive bekymret. Hackerne går typisk efter små-og mellemstore virksomheder med denne type angreb, da det ikke handler om størrelsen, men om indsigt i forretningsdata.

Droneindustrien i Taiwan er vokset betydelig siden 2022, og da landet altid har været allieret med USA, er landets producenter et mål for spionage og angreb på produktionskæder.

Den fulde rapport med dybdegående teknisk analyse af WordDrone kan findes her: https://www.acronis.com/en-us/cyber-protection-center/posts/operation-worddrone-drone-manufacturers-are-being-targeted-in-taiwan/

 

 

 

 

 

Relaterede artikler

Næsten halvdelen af alle cyberangreb sker efter 16.00 – og det giver...

Generel uro i verden giver travlhed hos dansk it-virksomhed

Ny rapport understreger nu truslen mod kritisk infrastruktur

Hackergrupper angreb franske virksomheder og myndigheder for at få Telegram-stifter løsladt

Ransomware svækket, mens nye AI-trusler vinder frem

Ny malware angreb knap 13.000 danske virksomheder i juli

Armis fordobler omsætningen på mindre end 18 måneder – når over 200...

Forkert e-mail-konfiguration udgør risiko for spoofing-angreb

Veeam opgraderer deres markedsledende software til databeskyttelse af Microsoft 365

Panasonic Toughbook løfter militære enheder til nyt sikkerhedsniveau

Reklame

Vi bruger cookies og andre identifikatorer for at forbedre din oplevelse. Dette giver os mulighed for at sikre din adgang, analysere dit besøg på vores hjemmeside. Det hjælper os med at tilbyde dig personlig indhold og nem adgang til nyttige oplysninger. Klik på "Jeg accepterer" for at acceptere vores brug af cookies og andre identifikatorer eller klik på "Flere oplysninger" for at justere dine valg. jeg godkender Flere oplysninger >>