功夫:2025-03-17 作者:ca88登陆平台
毒云藤组织(APT-Q-20)是ca88登陆平台于 2015 年 6 月初次披露的,,,,,归属于中国台湾省的 APT 组织,,,,,其最早的活动能够追忆到2007 年。。。。。。。该组织重要针对大陆当局、军事、国防、 科研等机构,,,,,使用鱼叉邮件攻击和水坑攻击等伎俩来执行 APT 攻击。。。。。。。

毒云藤组织图标
从 2018 年至 2025年,,,,,毒云藤组织利用大陆最常使用的社交软件、邮箱系统、以及当局机构网站、 军工网站、高档院校网站等进行了大规模的仿造,,,,,主张是尽可能多地获取指标的幼我信息,,,,,为后续窃取大陆谍报信息做筹备。。。。。。。
攻击重要分为垂钓网站攻击以及垂钓邮件攻击。。。。。。。在垂钓邮件攻击中,,,,,毒云藤重要假装成多种拥有鲜明特色的角色如智库类指标、军民融合产业园、军事杂志、公务员类猎头公司、军工等。。。。。。。
而近期台湾APT组织在持续利用各类网络兵器进行大领域攻击,,,,,本次ca88登陆平台会披露一些关于台湾针对大陆进行网络攻击活动过程中,,,,,溯源发现的关于该APT组织的幕后行动情况。。。。。。。
垂钓网站攻击
APT-C-01(毒云藤)是具备高度定向攻击能力的APT组织,,,,,其攻击模式出现多阶段递进特点。。。。。。。该组织在初始窥伺阶段会对指标行业属性、业务特点及人员信息进行深度分析,,,,,利用开源谍报和社交工程伎俩构建精准受害者画像,,,,,但是垂钓攻击伎俩较为单一。。。。。。。
垂钓方式重要为首先将搭建好的垂钓网站,,,,,而后通过构建邮件,,,,,将垂钓网站插入到邮件中,,,,,当受害者打开网站后,,,,,会直接弹出附件下载的页面,,,,,点击下载,,,,,就会弹出邮箱账号密码输入框,,,,,这时辰受害者输入账号后,,,,,压缩包才会进行下载。。。。。。。

本月进行投放的2025年会议主题垂钓网站
我们针对这些垂钓网站进行了有关工作,,,,,发现这些网站存在一个共性:其会将所有通过网络垂钓得到的账号密码,,,,,以TXT文本存储的方式,,,,,存储在垂钓网站的目录下面。。。。。。。
而这个伎俩,,,,,则是攻击者“自动”奉告给ca88登陆平台,,,,,这源于一次其针对大陆的垂钓活动中,,,,,在其中本应该仅存放有垂钓钓饵的压缩包中,,,,,出现了攻击者误打包的文件,,,,,这个文件蕴含了他们本次用来垂钓活动使用的服务器账号密码。。。。。。。

泄漏的服务器账号密码以及服务器上的垂钓网站代码和日志
其中有大量的台湾省IP在服务器上进行登录操作,,,,,并且每时每刻都有台湾省IP针对服务上的word.txt进行读。。。。。。。,,,,获取被垂钓的沉点人员的邮箱账号密码。。。。。。。
而在之后的垂钓活动中,,,,,攻击者会针对大陆的攻击指标,,,,,纪录在文档中,,,,,并造作对应的垂钓网站。。。。。。。

攻击者打算造作垂钓钓饵的列表

攻击者依照其打算日程造作的垂钓网站
在此基础上,,,,,针对毒云藤组织网的垂钓域名进行了分析,,,,,发现这些域名均为仿冒国内一些基础设施的域名,,,,,通过一些伎俩发现,,,,,这些域名均来自godaddy、name等国表域名注册商。。。。。。。

某域名注册平台的采办纪录
域名注册用户均来自台湾省某个账号。。。。。。。

某域名注册平台登录纪录
网络兵器分析
毒云藤组织在垂钓邮件中的木马附件通常名称为“文件定名.pdf.exe” ,木马通常为一个该组织自主编写的Loader,,,,,最后加载一个开源或者商用木马,,,,,木马根基为cobaltstrike 、siliver、tinyshell等,,,,,这类木马早已被各大APT组织或网络犯罪团伙滥用,,,,,以下是ca88登陆平台通过某些伎俩,,,,,获取到的一些该组织目前典型木马的分析情况。。。。。。。
·Go说话木马
木马运行后对内置的base64数据进行三次解码后,,,,,再别离与0x5c、0x5b、0x5a进行异或解密,,,,,随后对异或后的数据进行AES解密,,,,,key:'0rc42Pro'。。。。。。。
解密实现后申请内存执行解密后的dll文件,,,,,最终运行CobaltStrike远控。。。。。。。

· C++木马
木马执行后会在Ntdll内进行内存映射,,,,,随后加载资源执行窃密木马。。。。。。。

加载木马资源,,,,,随后解密。。。。。。。

创建注册表自启动项"Windows Security"。。。。。。。

木马会遍历磁盘下的"txt"、"doc"、"xls"、"ppt"、"csv"、"pdf"后缀文件并发送至C2。。。。。。。
· .net木马
木马选取.net编译,,,,,并增长了虚构化技术;;;;;;;;ご。。。。。。。
能够看到木马内的具体代码都已经被虚构化,,,,,选取动态加载的方式解密执行函数内部代码。。。。。。。

动态加载代码后其会反射加载模?????"EvpEbzXbsIodFmceYbWivWcOfDIf"。。。。。。。

在进行模?????榻饷芎螅,,,,设置接受所有TLS 证书流量。。。。。。。


并从远程服务器下载配置文件,,,,,将下载回来的前16个字节之后的数据进行AES CBC模式解密:
key= "adZqC3HjuNIBG7lo",VI="cbXDvd64V9CWOcnQ"。。。。。。。



解密后为压缩的payload,,,,,再对该数据进行解压。。。。。。。

随后申请内存,,,,,创建线程执行。。。。。。。

申请内存0x104EFC0读取前5个字节之后的数据解密,,,,,随后通过获取Loadlibtary和GetProaddress填充IAT。。。。。。。

批改系统日志APIEtwEventWrite首字节为0XC3(Ret),预防系统日志纪录。。。。。。。

随后创建内存映射,,,,,将数据映射后跳转至映射的内存。。。。。。。

映射后的木马分析后为Sliver木马。。。。。。。
缝隙攻击
经过ca88登陆平台大数据监测发现,,,,,毒云藤组织近年来持续使用大量Nday缝隙(已经公开的缝隙兵器),,,,,针对大陆各类设备进行缝隙攻击,,,,,并利用这些设备作为攻击其他单元的跳板,,,,,或者作为内网渗入的入口进行利用。。。。。。。
经ca88登陆平台研判,,,,,这些使用的均为网络泄漏的Nday缝隙,,,,,缝隙根基通过Github或者网络安全社区的方式进行获取。。。。。。。
此表,,,,,经过度析发现,,,,,现实上台湾省APT组织,,,,,在针对大陆的设备进行缝隙攻击的类型中,,,,,大部门为路由器、摄像头、智能家居、防火墙等的弱口令缝隙,,,,,这些攻击占比整体缝隙攻击30%的量级,,,,,因而幼我和企业尤其必要对自己的设备进行全方位的安全性加固,,,,,其中最沉要的就是使用一个复杂性密码。。。。。。。
结语
从台湾省整体的APT攻击活动能够看出,,,,,其攻击伎俩并不是出格的高妙,,,,,并且使用的网络兵器也不是出格复杂,,,,,甚至还在针对大陆各类网络设备进行弱口令爆破。。。。。。。
然而,,,,,由于该组织会无时无刻注册新的域名和采办服务器进行垂钓攻击,,,,,已经持续十五年从未停息,,,,,因而幼我和企业方面,,,,,肯定要防备垂钓邮件和网站,,,,,服膺“不轻信、不乱点”:陌生链接不轻易点击,,,,,可疑附件先安全扫描;;;;;;;;遇到“垂危通知”或“中奖信息”务必核实网址和发件人真伪。。。。。。。防木马需装置ca88登陆平台天擎杀毒软件、开启实时防护,,,,,定期更新补。。。。。。。,,,,不下载来路不明的文件或法式。。。。。。。
此表,,,,,台湾省APT攻击组织或将持续改进兵器库,,,,,整体的威胁活跃水平仍旧会维持相当高的频度来持续针对我国境内发展攻击活动。。。。。。。尤其是随着地缘政治严重加剧,,,,,将来可能会出现更多APT攻击进行刺探和窃取谍报的行动。。。。。。。对于台湾省APT组织威胁,,,,,绝不能放松警惕。。。。。。。
旗下网站
关于ca88登陆平台
95015服务热线
微信公家号
立即拨打