【样本分享】TIDRONE:针对台湾军事和卫星工业的隐秘网络间谍威胁
概要:
根据趋势科技的报告,一个新发现的威胁集群TIDRONE自2024年初以来一直积极针对台湾的军事和卫星工业。该威胁行为者利用不断演变的工具和复杂的技术,特别关注无人机制造商,引发了对潜在间谍活动和知识产权盗窃的担忧。
主要内容:
TIDRONE的主要目标是与台湾国防和卫星工业相关的组织,尤其是那些涉及无人机制造的企业。攻击链表明,该组织意图提取与军事技术相关的敏感信息,强化了TIDRONE从事具有地缘政治动机的网络间谍活动的怀疑。值得注意的是,该组织的活动已扩展到台湾以外,表明其具有更广泛的战略,针对其他国家的国防部门。
TIDRONE的武器库包括后门程序CXCLNT和CLNTEND,这些工具经过了显著的更新和优化。它们现在包含反分析技术,例如验证入口点地址和挂钩API以逃避检测。恶意软件通过挂钩广泛使用的API(如GetProcAddress)来改变执行流程并逃避检测。此外,恶意软件避免使用常见的新线程启动方法,如CreateThread或_beginthread,而是使用ConvertThreadToFiber和SwitchToFiber技术。这种方法使恶意软件能够绕过传统的杀毒检测机制,进一步突显了TIDRONE不断演变其攻击方法的能力。
TIDRONE的活动使用两种类型的后门,CXCLNT和CLNTEND,各自设计用于特定目的:CXCLNT收集受害者机器上的敏感信息,如IP地址、MAC地址和系统架构。它还可以从命令和控制(C2)服务器接收和执行有效载荷,删除文件以隐藏其存在,并通过注册表设置保持持久性。CLNTEND作为远程外壳工具运行,能够将进一步的有效载荷注入系统进程(如svchost.exe),并使用包括TCP、HTTP和TLS在内的多种协议与C2服务器建立通信。该后门的灵活性和隐蔽性使其成为长期间谍活动的有效工具。
在最近的案例研究中,恶意软件通过UltraVNC传递,并利用ERP系统中的漏洞,暗示可能的供应链攻击。一旦进入系统,恶意软件就会提升权限并执行恶意活动,包括UAC绕过、凭证转储和禁用杀毒软件。该组织对台湾军事部门的关注,加上使用先进的反检测技术,进一步强化了这是一个精心协调的间谍活动,针对敏感的地缘政治信息。