1. 定制化ERP利用：小规模ERP开发商为每个客户提供量身定制的软件，给攻击者提供了插入恶意软件的机会。ASEC观察到这些ERP的恶意版本“大约4MB大小”，而合法版本“大约20MB”。

2. Dropper安装：攻击者分发包含安装程序（droppers）的ERP软件版本，这些安装程序会同时安装ERP软件和CLNTEND恶意软件。

恶意加载器经常滥用合法的可执行文件，例如：

winword.exe（Microsoft Word）VsGraphicsDesktopEngine.exerc.exe

该恶意软件会丢弃wwlib.dll和vsgraphicsproxystub.dll等文件，从而启用旁加载来解密和执行内存中的CLNTEND有效负载。

CLNTEND被描述为远程访问木马（RAT），能够与命令和控制（C2）服务器进行复杂的通信。

ASEC解释说：“与CXCLNT不同，CLNTEND以支持各种通信协议而闻名，例如TCP（原始套接字、Web套接字）、TLS、HTTP、HTTPS和SMB。”

恶意软件的加密数据文件（例如wctE5ED.tmp）使用FlsCallback等高级混淆技术进行解密，这进一步使研究人员的分析复杂化。

该恶意软件使用硬编码路径进行执行和持久化。一些观察到的路径包括：

C:\AMD\Chipset_SoftWare\VsGraphicsDesktopEnginese.exeC:\NVIDIA\DisplayDriver\rc.exeC:\ProgramData\Microsoft OneDrive\setup\nir.exe

这凸显了TIDRONE的一贯策略，即将恶意组件混合到可识别的目录中以逃避检测。

TIDRONE组织通过ERP利用针对韩国公司，展示了供应链攻击日益增长的复杂性。利用被企业信任但开发时安全监管有限的ERP软件，确保了该组织对脆弱系统的更广泛访问。

ASEC总结道：“最近识别出的攻击案例涉及利用ERP，这些ERP被怀疑是由一个小开发公司创建的。”

建议依赖ERP系统的组织（尤其是来自较小供应商的组织）仔细检查其软件供应链，实施更严格的监控机制，并定期更新其端点防御措施，以降低此类高级威胁带来的风险。