E安全消息,黑客组织TIDRONE以针对台湾国防和无人机行业而闻名,现已将业务扩展到韩国,利用企业资源规划(ERP)软件部署CLNTEND后门恶意软件。AhnLab安全情报中心 (ASEC) 近期揭露了TIDRONE策划的一系列针对韩国公司的网络攻击。TIDRONE最初于2024年9月由Trend Micro发现,与一个讲中文的威胁组织有关。
他们的活动以台湾组织为目标,现在扩展到韩国,尤其是小型ERP解决方案。ASEC表示:“自2024年7月以来,该集团也一直在利用韩国ERP软件……可能由小公司开发并分发给少数韩国公司。使用ERP软件作为攻击媒介突显了该组织对供应链的战略目标,特别是那些分发范围有限且在安全性方面缺乏透明度的软件。这些攻击涉及DLL side-loading,这是一种众所周知的技术,允许恶意软件以合法程序为幌子执行。分发过程遵循两个主要模式:
1. 定制化ERP利用:小规模ERP开发商为每个客户提供量身定制的软件,给攻击者提供了插入恶意软件的机会。ASEC观察到这些ERP的恶意版本“大约4MB大小”,而合法版本“大约20MB”。
2. Dropper安装:攻击者分发包含安装程序(droppers)的ERP软件版本,这些安装程序会同时安装ERP软件和CLNTEND恶意软件。
恶意加载器经常滥用合法的可执行文件,例如:
- winword.exe(Microsoft Word)
- VsGraphicsDesktopEngine.exe
- rc.exe
该恶意软件会丢弃wwlib.dll和vsgraphicsproxystub.dll等文件,从而启用旁加载来解密和执行内存中的CLNTEND有效负载。
CLNTEND被描述为远程访问木马(RAT),能够与命令和控制(C2)服务器进行复杂的通信。
ASEC解释说:“与CXCLNT不同,CLNTEND以支持各种通信协议而闻名,例如TCP(原始套接字、Web套接字)、TLS、HTTP、HTTPS和SMB。”
恶意软件的加密数据文件(例如wctE5ED.tmp)使用FlsCallback等高级混淆技术进行解密,这进一步使研究人员的分析复杂化。
该恶意软件使用硬编码路径进行执行和持久化。一些观察到的路径包括:
- C:\AMD\Chipset_SoftWare\VsGraphicsDesktopEnginese.exe
- C:\NVIDIA\DisplayDriver\rc.exe
- C:\ProgramData\Microsoft OneDrive\setup\nir.exe
这凸显了TIDRONE的一贯策略,即将恶意组件混合到可识别的目录中以逃避检测。
TIDRONE组织通过ERP利用针对韩国公司,展示了供应链攻击日益增长的复杂性。利用被企业信任但开发时安全监管有限的ERP软件,确保了该组织对脆弱系统的更广泛访问。
ASEC总结道:“最近识别出的攻击案例涉及利用ERP,这些ERP被怀疑是由一个小开发公司创建的。”
建议依赖ERP系统的组织(尤其是来自较小供应商的组织)仔细检查其软件供应链,实施更严格的监控机制,并定期更新其端点防御措施,以降低此类高级威胁带来的风险。
转自E安全,原文链接:https://mp.weixin.qq.com/s/oT4Ajv8SO4ShPfJv6GDdKQ
暂无评论内容