中國關聯的TIDRONE駭客組織攻擊目標為軍事及衛星工業
趨勢科技 (Trend Micro) 日前發現了一個據稱與中國關聯密切的駭客組織TIDRONE,他們於2024 年開始進行網路攻擊活動,追蹤其行動,發現他們的目標是台灣的無人機製造廠商。
趨勢科技正在追蹤這個組織,並將該組織以TIDRONE作為稱號,趨勢表示這次行動是由間諜組織所主導的,而其攻擊重點是與軍事相關的產業鏈。
該組織之前從未被記錄或證實過,他們使用企業資源規劃 (ERP) 軟體和遠端桌面來部署高階惡意軟體,其中包括了CXCLNT和CLNTEND。
自今年4月以來,TIDRONE組織使用了CLNTEND,一種之前尚未被偵測到的遠端存取工具(RAT),這個軟體支援範圍更廣的網路通訊協定,因而進一步加強了他們的攻擊能力。
CXCLNT 和 CLNTEND 惡意軟體屬於後門程式,兩者都是經由 Microsoft Word 應用程式側載 (sideloading) 一個惡意的動態連結程式庫 (DLL) 來啟動的,進而使網路攻擊者能夠獲取更廣範圍的機敏資訊。
CXCLNT 具備了基本的上傳和下載檔案功能,以及清除痕跡、收集檔案清單和電腦名稱等受害者資訊,還可下載下一階段的可移植性執行檔 (PE, portable executable) 和 DLL 檔案以供執行所用。
資安研究人員表示:「考量檔案編譯的時間和網路攻擊者的操作時間,跟其他中國有關間諜組織從事的活動相比,兩者具有相當程度的一致性,因此可以推估這次攻擊行動很可能是由一個身份尚未明朗的中國背景威脅組織所發動的。」
網路安全公司 Acronis 公布了他們對這次攻擊行動的調查結果,調查中將這一系列攻擊稱之為「WordDrone 行動」,他們觀察到的攻擊行為發生於 2024 年 4 月至 7 月期間。
駭客集團侵入的一個特點是在部署 CLNTEND(又稱為 ClientEndPoint)之前會使用稱為Blindside (盲點) 的技術來迴避端點偵測和回應 (EDR) 軟體的偵測。
Acronis 進一步透露,在台灣一種 ERP 軟體 Digiwin 的資料夾中偵測到惡意構件 (artifacts),這表示有可能是採用供應鏈攻擊或是利用產品中的安全缺陷來取得初始的存取權。
這家新加坡公司同時表示:「台灣大約有十幾家公司參與無人機製造,通常是屬於 OEM 的類型。」 「台灣一直是美國的盟友,再加上台灣強大的科技技術背景,因而成為駭客組織從事軍事間諜活動或供應鏈攻擊的主要目標。」
總結來說,TIDRONE是一個與中國有關聯性的網路攻擊團體。這些攻擊行為是在台灣偵測到而發現的,主要目標為軍事相關產業,特別是無人機製造廠商。這些攻擊行動使用到 CXCLNT 和 CLNTEND 等高階惡意軟體的變種 (variant),這些進階的惡意軟體是透過 ERP 軟體或遠端桌面等方式來傳播。
TIDRONE駭客組織相關的部分的入侵指標(IOCs):
| 15e52f52ed2b8ed122fae897119687c4 |
| 26ff6fac8ac83ece36b95442f5bb81ce |
| 798a707e1abac44b0ad7b1114bcd10a6 |
| 6ab0e2ede4e0968eae2bdc63864971054a534f7b |
| 6e35ae1d5b6f192109d7a752acd939f5ca2b97a6 |
| 92d28c4201e0d56c46b2d750aa25856f60f2facb |
| 0d91dfd16175658da35e12cafc4f8aa22129b42b7170898148ad516836a3344f |
| 19bbc2daa05a0e932d72ecfa4e08282aa4a27becaabad03b8fc18bb85d37743a |
| 1b08f1af849f34bd3eaf2c8a97100d1ac4d78ff4f1c82dbea9c618d2fcd7b4c8 |
| 1bf318c94fa7c3fb26d162d08628cef54157dfeb2b36cf7b264e3915d0c3a504 |