毒雲藤組織圖示
從 2018 年至 2025年,毒雲藤組織利用大陸最常使用的社交軟體、郵箱系統、以及政府機構網站、 軍工網站、高等院校網站等進行了大規模的仿製,目的是儘可能多地獲取目標的個人資訊,為後續竊取大陸情報資訊做準備。
攻擊主要分為釣魚網站攻擊以及釣魚郵件攻擊。在釣魚郵件攻擊中,毒雲藤主要偽裝成多種具有鮮明特色的角色如智庫類目標、軍民融合產業園、軍事雜誌、公務員類獵頭公司、軍工等。
而近期臺灣APT組織在持續利用各類網路武器進行大範圍攻擊,本次奇安信會披露一些關於臺灣針對大陸進行網路攻擊活動過程中,溯源發現的關於該APT組織的幕後行動情況。
釣魚網站攻擊
APT-C-01(毒雲藤)是具備高度定向攻擊能力的APT組織,其攻擊模式呈現多階段遞進特徵。該組織在初始偵察階段會對目標行業屬性、業務特徵及人員資訊進行深度分析,利用開源情報和社交工程手段構建精準受害者畫像,但是釣魚攻擊手段較為簡單。
釣魚方式主要為首先將搭建好的釣魚網站,然後透過構建郵件,將釣魚網站插入到郵件中,當受害者開啟網站後,會直接彈出附件下載的頁面,點選下載,就會彈出郵箱賬號密碼輸入框,這時候受害者輸入賬號後,壓縮包才會進行下載。
本月進行投放的2025年會議主題釣魚網站
我們針對這些釣魚網站進行了相關工作,發現這些網站存在一個共性:其會將所有透過網路釣魚得到的賬號密碼,以TXT文字儲存的方式,儲存在釣魚網站的目錄下面。
而這個手段,則是攻擊者“主動”告知給我們的,這源於一次其針對大陸的釣魚活動中,在其中本應該僅存放有釣魚誘餌的壓縮包中,出現了攻擊者誤打包的檔案,這個檔案包含了他們本次用來釣魚活動使用的伺服器賬號密碼。
洩漏的伺服器賬號密碼以及伺服器上的釣魚網站程式碼和日誌
其中有大量的臺灣省IP在伺服器上進行登入操作,並且每時每刻都有臺灣省IP針對服務上的word.txt進行讀取,獲取被釣魚的重點人員的郵箱賬號密碼。
而在之後的釣魚活動中,攻擊者會針對大陸的攻擊目標,記錄在文件中,並製作對應的釣魚網站。
攻擊者計劃製作釣魚誘餌的列表
攻擊者按照其計劃日程製作的釣魚網站
在此基礎上,針對毒雲藤組織網的釣魚域名進行了分析,發現這些域名均為仿冒國內一些基礎設施的域名,透過一些手段發現,這些域名均來自godaddy、name等國外域名註冊商。
某域名註冊平臺的購買記錄
域名註冊使用者均來自臺灣省某個賬號。
某域名註冊平臺登入記錄
網路武器分析
毒雲藤組織在釣魚郵件中的木馬附件通常名稱為“檔案命名.pdf.exe” ,木馬通常為一個該組織自主編寫的Loader,最後載入一個開源或者商用木馬,木馬基本為cobaltstrike 、siliver、tinyshell等,這類木馬早已被各大APT組織或網路犯罪團伙濫用,以下是奇安信透過某些手段,獲取到的一些該組織目前典型木馬的分析情況。
Go語言木馬
木馬執行後對內建的base64資料進行三次解碼後,再分別與0x5c、0x5b、0x5a進行異或解密,隨後對異或後的資料進行AES解密,key:'0rc42Pro'。
解密完成後申請記憶體執行解密後的dll檔案,最終執行CobaltStrike遠控。
C++木馬
木馬執行後會在Ntdll內進行記憶體對映,隨後載入資源執行竊密木馬。
載入木馬資源,隨後解密。
建立登錄檔自啟動項"Windows Security"。
木馬會遍歷磁碟下的"txt"、"doc"、"xls"、"ppt"、"csv"、"pdf"字尾檔案併發送至C2。
.net木馬
木馬採用.net編譯,並添加了虛擬化技術保護程式碼。
可以看到木馬內的詳細程式碼都已經被虛擬化,採用動態載入的方式解密執行函式內部程式碼。
動態載入程式碼後其會反射載入模組"EvpEbzXbsIodFmceYbWivWcOfDIf"。
在進行模組解密後,設定接受所有TLS 證書流量。
並從遠端伺服器下載配置檔案,將下載回來的前16個位元組之後的資料進行AES CBC模式解密:
key= "adZqC3HjuNIBG7lo",VI="cbXDvd64V9CWOcnQ"。
解密後為壓縮的payload,再對該資料進行解壓。
隨後申請記憶體,建立執行緒執行。
申請記憶體0x104EFC0讀取前5個位元組之後的資料解密,隨後透過獲取Loadlibtary和GetProaddress填充IAT。
修改系統日誌APIEtwEventWrite首位元組為0XC3(Ret),防止系統日誌記錄。
隨後建立記憶體對映,將資料對映後跳轉至對映的記憶體。
對映後的木馬分析後為Sliver木馬。
漏洞攻擊
經過奇安信大資料監測發現,毒雲藤組織近年來持續使用大量Nday漏洞(已經公開的漏洞武器),針對大陸各類裝置進行漏洞攻擊,並利用這些裝置作為攻擊其他單位的跳板,或者作為內網滲透的入口進行利用。
經奇安信研判,這些使用的均為網路洩漏的Nday漏洞,漏洞基本透過Github或者網路安全社群的方式進行獲取。
此外,經過分析發現,實際上臺灣省APT組織,在針對大陸的裝置進行漏洞攻擊的型別中,大部分為路由器、攝像頭、智慧家居、防火牆等的弱口令漏洞,這些攻擊佔比整體漏洞攻擊30%的量級,因此個人和企業尤其需要對自己的裝置進行全方位的安全性加固,其中最重要的就是使用一個複雜性密碼。
結語
從臺灣省整體的APT攻擊活動可以看出,其攻擊手段並不是特別的高明,並且使用的網路武器也不是特別複雜,甚至還在針對大陸各類網路裝置進行弱口令爆破。
然而,由於該組織會無時無刻註冊新的域名和購買伺服器進行釣魚攻擊,已經持續十五年從未停歇,因此個人和企業方面,一定要防範釣魚郵件和網站,牢記“不輕信、不亂點”:陌生連結不隨意點選,可疑附件先安全掃描;遇到“緊急通知”或“中獎資訊”務必核實網址和發件人真偽。防木馬需安裝奇安信天擎防毒軟體、開啟即時防護,定期更新補丁,不下載來路不明的檔案或程式。
此外,臺灣省APT攻擊組織或將持續改進武器庫,整體的威脅活躍水平依舊會保持相當高的頻度來持續針對我國境內開展攻擊活動。尤其是隨著地緣政治緊張加劇,未來可能會出現更多APT攻擊進行刺探和竊取情報的行動。對於臺灣省APT組織威脅,絕不能放鬆警惕。