概述
近期,資安業界對於一起針對臺灣無人機製造商的攻擊行動 Operation WordDrone 進行了深入調查。調查發現,駭客利用舊版 Word 主程式,並疑似通過鼎新電腦 ERP 軟體從事供應鏈攻擊。
攻擊方式
Acronis 公布的調查結果顯示,駭客在 2024 年 4 月至 7 月期間,利用舊版 Word 2010 主程式對臺灣無人機製造商發起攻擊。他們竄改鼎新電腦 ERP 軟體的更新程式,將其置換成攻擊用的 Word 主程式檔案。此外,該 ERP 系統部分元件存在 CVE-2024-40521 等已知漏洞,使得攻擊者得以進行供應鏈攻擊。
攻擊對象與過程
調查人員指出,攻擊對象為臺灣無人機製造商,並認定此為針對性的攻擊行動。攻擊者濫用具有長效期的臺灣企業數位憑證,所有 C2 伺服器也位於臺灣。
Acronis 的研究人員表示,他們在調查過程中發現,攻擊者利用特定版本的 Word 漏洞,將惡意 DLL 程式庫側載至受害電腦,並從經加密處理的 gimaqkwo.iqq 文件中取出有效酬載執行。之後,他們運用 Install.dll 元件將特定處理程序部署為服務,並在命令中加入 SvcLoad 參數,使相關工具持續在受害電腦運作。
受害企業回應
針對報導中提及的鼎新電腦 ERP 軟體可能遭到竄改一事,鼎新電腦表示,旗下 ERP 軟體產品並不存在 CVE-2024-40521 漏洞。並強調,報導中提到的「Digiwin」資料夾實為鼎新雲管家「DigiwinSCP」,與 ERP 程式無直接關係。
鼎新電腦積極應變,已預防性全面關閉原連線服務,改採用其他連線工具服務客戶,並透過各管道通知客戶協助做相對應變。
結論
此次 Operation WordDrone 攻擊行動再次提醒我們,資安威脅無處不在,企業需加强資安防範,並積極進行資安教育,以降低資安風險。
Views: 3