【資安日報】12月18日，中國駭客組織Tidrone利用ERP軟體攻擊韓國企業

資安業者AhnLab揭露中國駭客TIDrone新一波的攻擊行動，並指出這些駭客針對使用特定廠牌ERP系統的企業下手，意圖藉由提供ERP程式來散布惡意軟體。

今年9月資安業者趨勢科技揭露的中國駭客TIDrone引起高度關注，原因是這些駭客不僅針對臺灣，還是專門對軍事、衛星工業，以及無人機製造商而來，當時他們特別提及這些駭客的攻擊範圍並非只有臺灣，如今有其他研究人員證實這樣的說法。

資安業者AhnLab揭露發生在韓國的攻擊行動，並指出這些駭客從今年初就開始從事相關活動，但到了7月，他們改變手法，鎖定特定廠牌的ERP軟體用戶下手。

【攻擊與威脅】
曾攻擊臺灣無人機廠商的中國駭客組織Tidrone，今年下半開始鎖定韓國企業ERP軟體進攻

今年9月資安業者趨勢科技揭露中國駭客TIDrone的攻擊行動，並指出主要目標是臺灣軍事及衛星工業，尤其是對無人機的製造商感到高度興趣，如今有新的調查發現，這些駭客也在其他國家從事攻擊行動。

資安業者AhnLab指出，他們發現這些駭客於今年上半對韓國企業發動攻擊，過程裡運用名為Clntend的惡意程式；到了7月，攻擊者針對當地的ERP軟體下手。研究人員提及，製作這些ERP系統的很可能是小型軟體開發業者，且僅有有限數量的韓國公司採用，這樣的目標可說是相當具有針對性。

針對上半年事故的入侵手法，研究人員表示他們尚未確認，推測是透過DLL側載手法及Word主程式（winword.exe）來進行。但自7月開始針對韓國軟體業者開發的ERP系統，這些駭客大致使用兩種手法入侵受害公司。

Apache Struts存在重大層級的RCE漏洞，已有攻擊者試圖找出存在弱點的應用程式

12月11日Apache基金會針對Java應用框架Struts提出警告，指出此框架存在重大層級的漏洞CVE-2024-53677，起因是檔案上傳邏輯錯誤，導致攻擊者能夠用來路徑穿越，從而遠端執行任意程式碼（RCE），CVSS風險評分為9.5（滿分10分），影響2.0.0至2.3.37版、2.5.0至2.5.33版，以及6.0.0至6.3.0.2版Struts，Apache基金會發布6.4.0版修補，他們呼籲套用新版程式，並遷移至新的檔案上傳機制。事隔不到一週，傳出這項漏洞疑似出現嘗試利用的跡象。

12月15日資安研究機構SANS提出警告，他們在14日偵測到IP位址169.150.226[.]162嘗試掃描這項漏洞的跡象，研究人員也對於漏洞公布更多細節。

值得留意的是，SANS提及攻擊者不光利用CVE-2024-53677，很有可能還利用另一個與上傳有關的弱點。不過，他們並未透露這項弱點的CVE編號。

本文轉載自 IT Home 資安日報