但为何前一波攻击行动后来才被发现?研究人员指出,起因是这些骇客主要仰赖开源工具,使得跟踪变得相当困难,相较之下,在TIDrone事故发生的过程,骇客为了从事网路间谍活动,使用自行开发的恶意程式Cxclnt、Clntend,而具备较为能够掌握的特征。
针对察觉Venom资安事故的过程,起因是趋势科技察觉TIDrone的受害组织采用相同的ERP系统,于是与ERP供应商进行合作,从而找到前一波攻击的资讯。研究人员指出,Venom的攻击聚焦于上游供应商,广泛涵盖重工业、媒体、科技、软体服务、医疗照护领域,并指出这两波攻击行动,最早可追溯至2022年。此外,虽然骏客主要的目标是台湾和韩国,但他们也发现有加拿大上传恶意程式档案至VirusTotal的情况。
根据攻击手法,研究人员指出大致可分成两种类型。其中一种是将恶意程式码注入一般的应用程式,或是将窜改的版本与软体更新套件调包,从而借由向下游客户提供合法软体的传递管道,散布恶意程式。
另一种手法则是在无法置换更新套件或注入恶意程式码的时候运用,骇客先攻击上游供应商,再透过远端监控工具或IT管理工具,对受害组织散布恶意软体,而能在不窜改软体的情况下,从上游供应商横向移动到下游的目标。
而对于Venom发生的过程,骇客先利用网页伺服器漏洞取得初始入侵管道,得逞后上传Web Shell,并利用开源代理伺服器工具及远端存取工具建立持续存取管道。接著,骇客试图从受害组织的网路环境窃取NTDS资料,目的是为后续的TIDrone攻击做准备。
相较于TIDrone,骇客在Venom活动偏好使用开源工具,研究人员仅有发现名为Venfrpc的作案工具是自行开发,并将其做为识别这波攻击的重要特征。
根据两起攻击的受害企业与服务供应商,以及C2基础设施出现交集的情况,趋势科技研判背后从事攻击者的身分,为相同的骇客组织。