Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Täiustatud püsiv oht (APT) TA416 andmepüügirünnak

TA416 andmepüügirünnak

Aastaks Mezo aastal Täiustatud püsiv oht (APT), Pahavara, Andmepüük
Tõlgi:

Alates 2025. aasta keskpaigast on pärast peaaegu kaheaastast vähenenud aktiivsust piirkonnas taas esile kerkinud Hiinaga seotud ohutegija, kes keskendub tugevalt Euroopa valitsustele ja diplomaatilistele asutustele. Seda kampaaniat on seostatud TA416-ga, mis on ohuklaster, mida seostatakse ka DarkPeony, RedDelta, Red Lichi, SmugX-i, UNC6384 ja Vertigo Pandaga.

Operatsioonid on peamiselt suunatud Euroopa Liidu ja NATOga seotud diplomaatilistele esindustele mitmes riigis. Need kampaaniad koosnevad koordineeritud lainetest, mis hõlmavad veebivigade jälgimist ja pahavara levitamist, mis viitab struktureeritud ja järjepidevale luureandmete kogumise pingutusele.

Geopoliitiliste pingete poolt ajendatud ulatuse laiendamine

TA416 on laiendanud oma operatiivset ulatust Euroopast väljapoole, algatades kampaaniaid valitsuste ja diplomaatiliste organisatsioonide vastu Lähis-Idas pärast USA-Iisraeli-Iraani konflikti eskaleerumist 2026. aasta veebruaris.

See laienemine peegeldab strateegilist püüdlust koguda tundlikku piirkondlikku luureteavet, rõhutades, kuidas grupi sihtimisprioriteedid on tihedalt seotud arenevate geopoliitiliste arengutega.

Kattuvad ohuökosüsteemid ja ühised tehnikad

TA416-l on märkimisväärseid tehnilisi kattumisi teise edasijõudnud ohuklastriga, mida tuntakse ka Mustang Panda nime all, kuid mida nimetatakse ka CerenaKeeperiks, Red Ishtariks ja UNK_SteadySplitiks. Mõlemat rühma jälgitakse laiemate klassifikatsioonide all, nagu Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX ja Twill Typhoon.

Kuigi TA416 seostatakse peamiselt kohandatud PlugX pahavara variantidega, kasutab Mustang Panda sageli selliseid tööriistu nagu TONESHELL, PUBLOAD ja COOLCLIENT. Vaatamata neile erinevustele tuginevad mõlemad rühmad suuresti DLL-i külglaadimisele kui põhilisele täitmistehnikale, näidates üles ühiseid töömeetodeid.

Adaptiivsed nakkusahelad ja manustamistehnikad

TA416 on näidanud üles suurt paindlikkust, arendades pidevalt oma nakkusahelaid. Kampaaniate jooksul täheldatud tehnikate hulka kuuluvad Cloudflare Turnstile'i kinnituslehtede kuritarvitamine, OAuthi ümbersuunamismehhanismide ärakasutamine ja pahatahtlike C# projektifailide kasutamine.

Grupp levitab pahavara tasuta meilikontodelt saadetavate õngitsuskirjade kaudu. Need sõnumid sisaldavad sageli linke pahatahtlikele arhiividele, mis asuvad sellistel platvormidel nagu Microsoft Azure Blob Storage, Google Drive, ründajate kontrolli all olevad domeenid või ohustatud SharePointi keskkonnad.

Üks peamine luuretehnika hõlmab veebilutikate kasutamist – need on väikesed nähtamatud jälgimiselemendid, mis on e-kirjadesse sisse põimitud. Nende avamisel käivitatakse HTTP-päringuid, mis avaldavad saaja metaandmeid, näiteks IP-aadressi, kasutajaagendi ja juurdepääsuaja, võimaldades ründajatel kaasatust kinnitada ja sihtimist täpsustada.

OAuthi kuritarvitamine ja pilvepõhine pahavara edastamine

2025. aasta lõpus kasutasid TA416 kampaaniad legitiimseid Microsofti OAuthi autoriseerimispunkte. Õngitsuslinkidele klõpsanud ohvrid suunati enne märkamatult ründaja kontrollitavasse infrastruktuuri, mis majutas pahatahtlikku sisu, usaldusväärsete autentimisvoogude kaudu.

2026. aasta alguseks oli grupp oma lähenemisviisi veelgi täiustanud, levitades arhiive Google Drive'i ja ohustatud SharePointi eksemplaride kaudu. Need arhiivid sisaldasid lisaks pahatahtlikele C# projektifailidele ka legitiimseid Microsoft MSBuildi käivitatavaid faile, luues petliku, kuid tõhusa täitmisviisi.

MSBuildi ärakasutamine ja mitmeastmeline kasuliku koormuse juurutamine

MSBuildi utiliit mängib TA416 nakatusahelas kriitilist rolli. Käivitamisel otsib ja kompileerib see automaatselt töökataloogis olevad projektifailid. Nendes rünnakutes toimivad pahatahtlikud CSPROJ-failid allalaadijatena, mis dekodeerivad Base64-kodeeringuga URL-e ja hangivad täiendavaid kasuliku koormuse komponente.

Protsess hõlmab DLL-i külglaadimispaketi allalaadimist, selle salvestamist ajutisse kataloogi ja PlugX-i pahavara laadiva legitiimse binaarfaili käivitamist. See mitmeastmeline lähenemisviis suurendab varjatust ja raskendab tuvastamist.

PlugX-i tagaukse võimalused ja püsivus

PlugX jääb TA416 operatsioonide keskseks komponendiks, mida kasutatakse järjepidevalt kõigis kampaaniates, hoolimata edastusmehhanismide erinevustest. Pahavara loob krüpteeritud ühenduse juhtimis- ja juhtimisinfrastruktuuriga ning teeb enne käivitamist analüüsivastaseid kontrolle, et avastamist vältida.

Selle funktsionaalsus võimaldab ulatuslikku süsteemi juhtimist ja andmete väljavoolu. Põhivõimaluste hulka kuuluvad:

  • Üksikasjaliku süsteemiteabe kogumine
  • Eemaldab end kohtuekspertiisi vältimiseks
  • Käskuserveritega suhtlemise intervallide muutmine
  • Lisakoormuste allalaadimine ja käivitamine
  • Kaugjuhtimise jaoks pöördkesta juurdepääsu loomine

Pidev areng ja strateegiline sihtimine

TA416 naasmine Euroopa sihtmärkide juurde pärast Kagu-Aasiale ja Mongooliale keskendumist annab märku uuest rõhuasetusest EL-i ja NATO-ga seotud luureandmete kogumisele. Samal ajal rõhutab laienemine Lähis-Ida operatsioonidele rühmituse reageerimisvõimet globaalsetele konfliktidele.

Ohu tekitaja valmisolek täiustada tehnikaid, alates võltsitud kinnituslehtedest kuni OAuthi kuritarvitamise ja MSBuild-põhise käivitamiseni, näitab püsivat pühendumust rünnakute vältimisele ja tegevuse tõhususele. PlugX pahavara pidev täiustamine rõhutab veelgi selle rolli keeruka ja adaptiivse küberspionaaži ohuna.

 

Trendikas

Enim vaadatud

Laadimine...