在一项重大披露中,Positive Technologies Expert Security Center (PT ESC) 的威胁情报部门将一个复杂的网络钓鱼和恶意软件活动归咎于 APT 组织 Team46,该组织之前以别名 TaxOff 与备受瞩目的网络攻击有关。他们的最新行动涉及利用 Google Chrome 沙盒逃逸零日漏洞 (CVE-2025-2783) 和部署名为 Trinper 的多层恶意软件加载程序。
“这份报告还提供了数据,表明 TaxOff 实际上与 Team46 是同一个团体,”PT ESC 证实。
该活动于 2025 年 3 月浮出水面,当时一封伪装成 Primakov Readings 论坛邀请函的网络钓鱼电子邮件引诱受害者访问一个恶意网站。单击嵌入的链接会触发滥用 CVE-2025-2783 的一键式漏洞,从而允许沙盒逃逸和无缝安装恶意软件。
“最初的攻击媒介是一封网络钓鱼电子邮件……它触发了一键式漏洞 (CVE-2025-2783),导致安装了 TaxOff 使用的 Trinper 后门,“PT ESC 解释道。
进一步的分析可以追溯到 2024 年 10 月和 9 月的类似网络钓鱼活动,这表明这是一次长期运行的行动。一封诱饵电子邮件邀请目标参加一个关于“联邦国家安全”的论坛,而另一封则欺骗了俄罗斯最大的数字服务提供商 Rostelecom。
有效负载隐藏在巧妙混淆的 PowerShell 命令中,下载了伪装成 PDF 或更新可执行文件的多层加密文件。执行通常是使用 rdpclip.exe 和 AdobeARM.exe 等 LOLBins 触发的。
“同样的模式也被用来命名受害者电脑上的诱饵文件……下载诱饵文档时使用 Edge User-Agent,下载有效负载时使用 Yandex Browser User-Agent,“PT ESC 指出。
Trinper 恶意软件具有高度混淆的多阶段加载程序,旨在逃避检测并仅在目标机器上运行。解密密钥动态派生自:
- 固件 UUID
- 处理映像路径名称
- 改进的 ChaCha20 算法
- 自定义 BLAKE2b 哈希
如果执行发生在沙盒或意外进程中,恶意软件会转移到无限解密循环中,从而有效地停止分析。
“加载程序首先验证它是否正在特定进程的上下文中执行…如果没有,它的执行将被终止,“报告指出。
解密后,Trinper 后门将连接到模拟域,例如:
- common-rdp-front.global.ssl.fastly.net
- fast-telemetry-api.global.ssl.fastly.net
Team46 还部署了内部侦测tools—dirlist.exe、ProcessList.exe 和 ScreenShot.exe — 全部用 .NET 编写,并通过命名管道进行通信。
PT ESC 的分析强调了强烈的重叠:
- 相同的 PowerShell 攻击链
- 使用 UUID 和 ChaCha20 的类似加载器
- 匹配基础设施命名约定
“TaxOff 使用的加载程序在功能上与 Team46 使用的 Trojan.Siggen27.11306 加载程序相同,”研究人员指出,并得出结论:“我们的研究强烈表明,Team46 和 TaxOff 实际上是同一个 APT 组。
发表评论
您还未登录,请先登录。
登录