在台海局势日益紧张的背景下,信息安全公司趋势科技近日揭露,一个专门针对军事产业的中国黑客组织TIDrone,正在频繁攻击台湾的军事及卫星工业,尤其是对无人机制造商表现出浓厚兴趣。
黑客组织TIDrone的攻击行动
趋势科技自年初开始,不断接到台湾信息安全事故的通报。经过深入调查和比对,研究人员发现,TIDrone黑客组织主要针对台湾的军事产业链进行攻击。然而,根据恶意软件分析平台VirusTotal的数据显示,台湾并非这些黑客的唯一攻击目标,呼吁其他国家也应提高警惕。
攻击手法及恶意软件
研究人员推测,黑客可能利用特定工具渗透受害组织的环境,然后进行横向移动。在此次攻击行动中,黑客在受害组织内部散布了两种恶意软件:Cxclnt和Clntend。
Cxclnt具备上传和下载文件的功能,能够收集系统信息和文件名列表。攻击者可以利用它来传输执行文件并执行。此外,Cxclnt还能抹除作案痕迹,以避免被发现。
另一种恶意软件Clntend是一种今年4月出现的RAT(远程访问木马)程序,其特点是支持较广泛的网络通信协议。
攻击策略分析
值得注意的是,所有受害组织都采用了相同的ERP系统。因此,研究人员认为,攻击者可能透露了供应链攻击的策略,以达到散布恶意软件的目的。
攻击者首先通过远程访问工具UltraVNC下载恶意软件的相关组件,然后启动恶意软件并执行winsrv.exe。恶意软件会从winlogon.exe复制凭据(Token)来提升权限,并篡改特定文件夹中的Update.exe。
在后续的攻击中,黑客试图绕过用户账户控制(UAC)、窃取账号密码,并下达停用防病毒软件的命令。
防御策略
研究人员发现,这些攻击行动的一个共同点是,黑客都使用WinWord.exe作为主要处理程序。因此,信息安全人员可以利用这一特征,进一步防御相关攻击行为。
总结
随着台海局势的持续紧张,信息安全问题日益凸显。趋势科技此次揭露的中国黑客组织TIDrone的攻击行动,再次提醒我们,网络安全防护的重要性不容忽视。各国应提高警惕,加强信息安全防护,共同维护网络空间的和平与稳定。
Views: 4