今年9月资安业者趋势科技揭露针对上半年事故的入侵手法,研究人员表示他们尚未确认,推测是透过DLL侧载手法及Word主程式(winword.exe)来进行。
但自7月开始针对韩国软体业者开发的ERP系统,这些骇客大致使用两种手法入侵受害公司。
第一种是针对韩国小型软体开发商的客户,假借提供ERP软体的名义散布恶意程式,研究人员提及,合法的ERP软体大小约20 MB,而恶意软体档案约为4 MB。
一旦受害者执行,就会透过VsGraphicsDesktopEngine.exe侧载恶意DLL程式库。不过,研究人员无法取得恶意程式档案。
另一种手法,则是涉及另一款韩国公司制作的ERP系统,攻击者根据不同目标上传恶意程式,若是使用者取得了ERP档案,攻击者之后就会透过恶意程式载入工具,于受害电脑部署ERP及Clntend。
对于AhnLab的调查结果,映证了趋势科技当时提及台湾并非TIDrone唯一的攻击目标,而且,这些骇客在台湾、韩国的攻击行动里,都偏好针对企业环境常见的ERP系统下手。