根據研究分析,TIDrone 與其他中國駭客組織有所關聯。這個組織利用 ERP 系統或遠端桌面軟體作為入侵管道,接著部署進階的客製化惡意程式。
趨勢科技指出,自 2024 年初以來,他們持續接獲來自台灣的資安事件應變案例。然而,根據海外資安公司的資料顯示,
受害國家範圍廣泛,各國都應對這個威脅保持高度警覺。
TIDrone使用的特殊工具包括:
- CXCLNT:能夠上傳和下載檔案、收集受害者資訊(如檔案列表和電腦名稱),並具備隱匿能力。
- CLNTEND:一種遠端存取工具(RAT),首次發現於去年四月,支援多種網路通訊協定。
一旦 TIDrone 成功入侵目標,便會載入使用者帳戶控制(UAC)繞過技術、竊取憑證,並利用駭客工具來停用防毒軟體。
資安專家指出,這群駭客不斷更新他們的攻擊工具,並且優化入侵手法。他們在惡意程式的載入器中使用了一些反偵測技術,例如檢查父程序的進入點位址,以及攔截常用的系統 API(像是 GetProcAddress)來改變程式的執行流程。
本文轉載自 DarkReading。