威胁行为体TA415在近期针对美国政府、智库和学术机构的行动中,已改进其战术、技术和程序,利用谷歌表格和谷歌日历等合法云服务进行命令与控制通信。
2025年7月至8月期间,这个老练的团伙以美中经济为主题制作诱饵,伪装成知名人士,开展钓鱼邮件攻击活动。
TA415,也被称为APT41、黄铜台风和邪恶熊猫,它代表了国家支持的网络行动的重大转变,即放弃传统的恶意软件交付机制,转而采用合法的开发工具。
该组织最新的行动一直利用可信服务作为命令和控制基础设施,这表明其采用了一种蓄意策略,将恶意活动与正常的网络流量模式相混合。
这种方法极大地增加了检测难度,因为安全工具必须区分合法的业务通信和恶意的命令通道。
Proofpoint的研究人员发现,TA415近期的行动主要集中在收集有关中美经济关系走向的情报,这与更广泛的地缘政治紧张局势以及持续的贸易谈判相符。
这些行动的时间安排恰逢围绕美台关系以及针对中国的全面制裁框架的关键政策讨论,这表明国家层面的决策者有特定的情报需求。
威胁行为者的感染方法包括通过Zoho WorkDrive、Dropbox和OpenDrive等云共享服务传递受密码保护的压缩文件。
这些档案包含微软快捷方式文件以及存储在隐藏的MACOS子文件夹中的隐藏组件。
该组织在邮件传输过程中持续使用Cloudflare WARP VPN服务来隐藏发送者的IP地址,为其活动增加了额外的操作安全层。
高级感染链分析
TA415的感染机制通过部署Visual Studio Code远程隧道,展现出对合法开发工作流程的复杂理解。
执行后,恶意LNK文件会触发一个名为logon.bat的批处理脚本,该脚本随后通过嵌入的Python包启动WhirlCoil Python加载器。
该加载器采用了高级混淆技术,使用诸如IIIllIIIIlIlIIlIII之类的重复变量名和函数名来规避静态分析检测方法。
WhirlCoil组件从微软官方来源下载VSCode命令行界面,将其解压到%LOCALAPPDATA%\Microsoft\VSCode,并通过名为GoogleUpdate、GoogleUpdated或MicrosoftHealthcareMonitorNode的计划任务建立持久性。
该脚本执行命令code.exe tunnel user login --provider github --name <COMPUTERNAME>以创建经GitHub认证的远程隧道,提供持久的访问,且不带有常规恶意软件特征。
系统信息收集包括Windows版本详情、区域设置、计算机标识、用户名和域信息,这些信息通过POST请求传输到requestrepo.com等免费请求日志服务。
泄露的数据与VS Code远程隧道验证码相结合,使威胁行为者能够通过Visual Studio的集成终端界面验证远程会话并执行任意命令。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
