TIDRONEAPT组织攻击台湾无人机制造商

从今年年初开始一名此前未被发现的APT组织，针对台湾省的无人机制造商发起了一场规模庞大的网络攻击。

趋势科技（Trend Micro）将其命名为TIDRONE并开始追踪这一APT组织，并表示，由于该产业涉及军事相关产业链，不排除是间谍行为的可能性。目前尚不清楚用于入侵目标的确切初始访问链路，但经过分析发现，大概率为使用远程桌面工具(如UltraVNC)部署定制恶意软件，如CXCLNT和CLNTEND。在不同的受害者中观察到的一个有趣的共性是都使用了相同的企业资源规划(ERP)软件，这增加了供应链攻击的可能性。攻击链随后经历了三个不同的阶段，通过绕过用户访问控制(User Access Control, UAC)、转储证书和禁用杀毒软件从而规避防御来实现权限提升。

这两个后门程序都是通过通过Microsoft Word应用程序加载恶意.dll启动的，允许攻击者获取大量敏感信息。CXCLNT配备了基本的上传和下载文件功能，以及清除跟踪、收集受害者信息(如文件列表和计算机名称)以及下载下一阶段的可移植可执行文件(PE)和.dll文件以供执行的功能。CLNTEND于今年4月首次被发现，是一种被发现的远程访问工具(RAT)，支持更广泛的网络通信协议，包括TCP、HTTP、HTTPS、TLS和SMB(端口445)。

目前台湾省方面认为该组织可能来源于大陆。

知识星球

高质量安全知识星球社区，致力于漏洞挖掘，渗透技巧，安全资料，星球承诺会持续更新0/1/NDay及对应的批量利用工具，团队内部漏洞库，内外网攻防技巧，你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。分享行业内最新动态，解答交流各类技术问题。涉及方向包括Web渗透、免杀绕过、红蓝攻防、代码审计、应急响应、安全培训、CTF、小白入门、职业规划和疑难解答。CatalyzeSec，安全技术水平的催化者，星球针对成员的技术问题，快速提供思考方向及解决方案，并为星友提供多种方向的学习资料、安全工具、POC&EXP以及各种学习笔记等，以引导者和催化剂的方式助力安全技术水平的提升。我们是一个快速成长的team，团队的发展方向与每一位星友的学习方向密切相关，加入我们，一起成为更好的自己！PS：随着星球内知识的积累，人员的增加，星球价格也会随之增加，前一百位加入我们的师傅可享受99元朋友价！团队内部独家知识库

原文始发于微信公众号（CatalyzeSec）：TIDRONEAPT组织攻击台湾无人机制造商