E安全消息，黑客组织TIDRONE以针对台湾国防和无人机行业而闻名，现已将业务扩展到韩国，利用企业资源规划（ERP）软件部署CLNTEND后门恶意软件。AhnLab安全情报中心 (ASEC) 近期揭露了TIDRONE策划的一系列针对韩国公司的网络攻击。TIDRONE最初于2024年9月由Trend Micro发现，与一个讲中文的威胁组织有关。他们的活动以台湾组织为目标，现在扩展到韩国，尤其是小型ERP解决方案。ASEC表示：“自2024年7月以来，该集团也一直在利用韩国ERP软件……可能由小公司开发并分发给少数韩国公司。使用ERP软件作为攻击媒介突显了该组织对供应链的战略目标，特别是那些分发范围有限且在安全性方面缺乏透明度的软件。这些攻击涉及DLL side-loading，这是一种众所周知的技术，允许恶意软件以合法程序为幌子执行。分发过程遵循两个主要模式： 1. 定制化ERP利用：小规模ERP开发商为每个客户提供量身定制的软件，给攻击者提供了插入恶意软件的机会。ASEC观察到这些ERP的恶意版本“大约4MB大小”，而合法版本“大约20MB”。 2. Dropper安装：攻击者分发包含安装程序（droppers）的ERP软件版本，这些安装程序会同时安装ERP软件和CLNTEND恶意软件。 恶意加载器经常滥用合法的可执行文件，例如： winword.exe（Microsoft Word） VsGraphicsDesktopEngine.exe rc.exe 该恶意软件会丢弃wwlib.dll和vsgraphicsproxystub.dll等文件，从而启用旁加载来解密和执行内存中的CLNTEND有效负载。 CLNTEND被描述为远程访问木马（RAT），能够与命令和控制（C2）服务器进行复杂的通信。 ASEC解释说：“与CXCLNT不同，CLNTEND以支持各种通信协议而闻名，例如TCP（原始套接字、Web套接字）、TLS、HTTP、HTTPS和SMB。” 恶意软件的加密数据文件（例如wctE5ED.tmp）使用FlsCallback等高级混淆技术进行解密，这进一步使研究人员的分析复杂化。 该恶意软件使用硬编码路径进行执行和持久化。一些观察到的路径包括： C:\AMD\Chipset_SoftWare\VsGraphicsDesktopEnginese.exe C:\NVIDIA\DisplayDriver\rc.exe C:\ProgramData\Microsoft OneDrive\setup\nir.exe 这凸显了TIDRONE的一贯策略，即将恶意组件混合到可识别的目录中以逃避检测。 TIDRONE组织通过ERP利用针对韩国公司，展示了供应链攻击日益增长的复杂性。利用被企业信任但开发时安全监管有限的ERP软件，确保了该组织对脆弱系统的更广泛访问。 ASEC总结道：“最近识别出的攻击案例涉及利用ERP，这些ERP被怀疑是由一个小开发公司创建的。” 建议依赖ERP系统的组织（尤其是来自较小供应商的组织）仔细检查其软件供应链，实施更严格的监控机制，并定期更新其端点防御措施，以降低此类高级威胁带来的风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/oT4Ajv8SO4ShPfJv6GDdKQ 封面来源于网络，如有侵权请联系删除

ClickBalance一个云数据库暴露在公网，导致7.69亿条记录泄露，其中包括API密钥和电子邮件地址等信息。 安全内参7月25日消息，根据安全研究员Jeremiah Fowler的最新发现，ERP软件提供商ClickBalance拥有的一个包含7.69亿条记录的云数据库未设置任何密码或安全认证，恶意威胁行为者可以轻而易举地访问这些数据。 ClickBalance是墨西哥最大的企业资源规划（ERP）技术提供商之一，提供可以从任何设备访问的ERP工具。ERP工具负责管理和自动化各部门的业务流程，涵盖财务、人力资源、供应链、制造和销售等部门。 Fowler向WebsitePlanet报告了这一问题。该报告指出，该数据库包含了潜在的敏感信息，如访问令牌、API密钥、密钥、银行账号、税号和381224个电子邮件地址。 泄露记录的截图（来源：Jeremiah Fowler） API和密钥的暴露非常令人担忧，因为网络犯罪分子可能利用这些数据未经授权地访问关键系统和敏感数据，进而引发数据盗窃、账号接管、未经授权的交易和服务中断。 电子邮件地址的暴露也带来了潜在的风险。相关风险不仅限于垃圾邮件，因为91%的网络攻击始于钓鱼邮件。犯罪分子可以创建欺骗性电子邮件以窃取个人信息、财务数据和登录凭证。网络犯罪分子获取业务相关的电子邮件地址之后，可能发动有针对性的钓鱼攻击。 目前尚不清楚数据库暴露了多长时间，也不清楚是否有其他人访问过。不过，Fowler指出，对于管理着大量客户、员工和终端用户数据的科技公司来说，数据保护是一大难题。为此，他们设计了企业资源规划（ERP）、客户关系管理（CRM）和持续诊断与缓解（CDM）系统，方便跟踪和管理这些数据。然而，数据泄露可能暴露敏感信息，带来长期的运营和战略风险。 好消息是，Fowler发送了负责任的披露通知，几小时后该数据库限制了公共访问。尽管如此，为了防范这些风险，组织应更改密码并启用双因素认证（2FA）。 同样重要的是，要警惕未经请求的电子邮件和可疑的信息请求。通过访问控制和安全存储实践保护密钥、令牌和其他管理凭证也至关重要。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/K9_67EAtndaO55v90kA5aA 封面来源于网络，如有侵权请联系删除