IT-sikkerhedsvirksomheden Acronis’ forskningsgruppe har opfanget tekniske detaljer omkring en hackergruppe, som går målrettet efter droneproducenter i Taiwan ved at bruge en forældet version af Microsoft Word.

IT-kriminelle har angrebet droneproducenter i Taiwan ved at udnytte en sårbarhed i en 14 år gammel version af Windows Word.

Forældede versioner af Microsoft Word bruges til malware angreb mod droneproducenterIt-sikkerhedsvirksomheden Acronis’ Threat Research-gruppe (TRU) har været i stand til at afsløre de værktøjer og teknikker, som gruppen navngivet ”WordDrone” af Acronis, bruger i malwaren, herunder EDRSilencer og Blindside.

Derudover har TRU lavet en dybdegående analyse af ClientEndPoint.dll, det sidste stadie af angrebet, som udføres i to vigtige trin.

Yderligere analyser af kommando- og kontrolkommunikation samt detaljerede fund af handlinger efter angrebet er også inkluderet i undersøgelsen.

XDR-løsning opdagede mistænkelige hændelser

Acronis opdagede en usædvanlighed i 2010-versionen af Microsoft Word, da en kunde slog alarm, fordi Acronis XDR-løsning havde opdaget mistænkelig aktivitet i Winword, men ikke kunne afgøre, hvilket dokument der blev indlæst. Anmodningen var usædvanlig på grund af en sti og kommandolinje, der blev brugt med en hidtil uset “SvcLoad”-parameter, en belastningsgrad, mens den samtidig rapporterede, at en anden version af Winword allerede var implementeret på arbejdsstationen. Det blev derefter fastslået, at 2010-versionen af Winword blev brugt og sat op som en engangstjeneste for hackerne, og Acronis reagerede på hændelsen.

Mindre virksomheder står for skud

Tilstedeværelsen af gamle Winword-versioner er ikke ensbetydende med malware, men når der samtidig er en usædvanlig kommandolinje og ingen tegn på at et dokument åbnes, så skal man blive bekymret. Hackerne går typisk efter små-og mellemstore virksomheder med denne type angreb, da det ikke handler om størrelsen, men om indsigt i forretningsdata.

Droneindustrien i Taiwan er vokset betydelig siden 2022, og da landet altid har været allieret med USA, er landets producenter et mål for spionage og angreb på produktionskæder.

Den fulde rapport med dybdegående teknisk analyse af WordDrone kan findes her: https://www.acronis.com/en-us/cyber-protection-center/posts/operation-worddrone-drone-manufacturers-are-being-targeted-in-taiwan/

 

 

 

 

 

Relaterede artikler

Vi bruger cookies og andre identifikatorer for at forbedre din oplevelse. Dette giver os mulighed for at sikre din adgang, analysere dit besøg på vores hjemmeside. Det hjælper os med at tilbyde dig personlig indhold og nem adgang til nyttige oplysninger. Klik på "Jeg accepterer" for at acceptere vores brug af cookies og andre identifikatorer eller klik på "Flere oplysninger" for at justere dine valg. jeg godkender Flere oplysninger >>