【样本分享】TIDRONE：针对台湾军事和卫星工业的隐秘网络间谍威胁

概要：

根据趋势科技的报告，一个新发现的威胁集群TIDRONE自2024年初以来一直积极针对台湾的军事和卫星工业。该威胁行为者利用不断演变的工具和复杂的技术，特别关注无人机制造商，引发了对潜在间谍活动和知识产权盗窃的担忧。

主要内容：

TIDRONE的主要目标是与台湾国防和卫星工业相关的组织，尤其是那些涉及无人机制造的企业。攻击链表明，该组织意图提取与军事技术相关的敏感信息，强化了TIDRONE从事具有地缘政治动机的网络间谍活动的怀疑。值得注意的是，该组织的活动已扩展到台湾以外，表明其具有更广泛的战略，针对其他国家的国防部门。

TIDRONE的武器库包括后门程序CXCLNT和CLNTEND，这些工具经过了显著的更新和优化。它们现在包含反分析技术，例如验证入口点地址和挂钩API以逃避检测。恶意软件通过挂钩广泛使用的API（如GetProcAddress）来改变执行流程并逃避检测。此外，恶意软件避免使用常见的新线程启动方法，如CreateThread或_beginthread，而是使用ConvertThreadToFiber和SwitchToFiber技术。这种方法使恶意软件能够绕过传统的杀毒检测机制，进一步突显了TIDRONE不断演变其攻击方法的能力。

TIDRONE的活动使用两种类型的后门，CXCLNT和CLNTEND，各自设计用于特定目的：CXCLNT收集受害者机器上的敏感信息，如IP地址、MAC地址和系统架构。它还可以从命令和控制（C2）服务器接收和执行有效载荷，删除文件以隐藏其存在，并通过注册表设置保持持久性。CLNTEND作为远程外壳工具运行，能够将进一步的有效载荷注入系统进程（如svchost.exe），并使用包括TCP、HTTP和TLS在内的多种协议与C2服务器建立通信。该后门的灵活性和隐蔽性使其成为长期间谍活动的有效工具。

在最近的案例研究中，恶意软件通过UltraVNC传递，并利用ERP系统中的漏洞，暗示可能的供应链攻击。一旦进入系统，恶意软件就会提升权限并执行恶意活动，包括UAC绕过、凭证转储和禁用杀毒软件。该组织对台湾军事部门的关注，加上使用先进的反检测技术，进一步强化了这是一个精心协调的间谍活动，针对敏感的地缘政治信息。