TIDRONE：针对台湾无人机制造商的网络攻击

关键信息

TIDRONE：一个疑似与中国有关的威胁组织，针对台湾无人机制造商进行恶意软件攻击。攻击手法：利用企业资源规划软件和远程桌面程序，通过恶意DLL执行CXCLNT恶意软件和CLTEND远程访问工具。攻击能力：包括文件上传/下载、系统信息收集和活动混淆，同时具备了更强大的网络协议支持。

据安全事务报道，疑似与中国有关的威胁组织TIDRONE利用企业资源规划软件和远程桌面工具，针对台湾的无人机制造商进行了一系列复杂的恶意软件攻击。

根据Trend Micro研究人员的报告，攻击者利用了Microsoft Word应用中的恶意DLL，从开源的远程桌面和远程管理软件UltraVNC中提取启动程序，从而注入CXCLNT恶意软件和CLTEND远程访问工具。CXCLNT不仅允许文件的上传和下载，也允许可执行文件的下载，同时能够收集系统信息和进行活动混淆。CLTEND则通过增强的网络协议支持，扩大了攻击能力。

进一步分析TIDRONE的攻击，显示其武器库持续更新。此威胁组织不仅使用了用户帐号控制UAC绕过、凭据转储，以及禁用杀毒软件的命令，还采用了其他的反分析措施，例如验证父进程的入口点地址，以及通过GetProcAddress API操控执行流程。这些措施使得攻击更加隐蔽，提高了成功的概率。

总结：TIDRONE的这一系列攻击手法表明，他们的技术不断演进，威胁程度加大，企业在保护自身免受此类威胁时需采取更加积极的安全防护措施。

clash梯子教程