TA416 sukčiavimo ataka
Nuo 2025 m. vidurio vėl atsirado su Kinija susijęs grėsmės veikėjas, daugiausia dėmesio skiriantis Europos vyriausybėms ir diplomatinėms įstaigoms po beveik dvejų metų sumažėjusio aktyvumo regione. Ši kampanija buvo siejama su TA416 – grėsmių grupe, taip pat siejama su „DarkPeony“, „RedDelta“, „Red Lich“, „SmugX“, UNC6384 ir „Vertigo Panda“.
Operacijos daugiausia buvo nukreiptos į diplomatines atstovybes, susijusias su Europos Sąjunga ir NATO, keliose šalyse. Šios kampanijos susideda iš koordinuotų bangų, apimančių žiniatinklio klaidų sekimą ir kenkėjiškų programų platinimą, o tai rodo struktūrizuotas ir nuolatines žvalgybos rinkimo pastangas.
Turinys
Plečiama taikymo sritis dėl geopolitinės įtampos
TA416 išplėtė savo operacinę aprėptį už Europos ribų, pradėdamas kampanijas prieš vyriausybines ir diplomatines organizacijas Artimuosiuose Rytuose po JAV, Izraelio ir Irano konflikto eskalacijos 2026 m. vasarį.
Šis išplėtimas atspindi strategines pastangas rinkti neskelbtiną regioninę žvalgybą, pabrėžiant, kaip grupės taikymo prioritetai yra glaudžiai susiję su besikeičiančiais geopolitiniais įvykiais.
Persidengiančios grėsmių ekosistemos ir bendri metodai
TA416 turi pastebimų techninių sutapimų su kitu pažangių grėsmių klasteriu, paprastai žinomu kaip „Mustang Panda“, taip pat vadinamu „CerenaKeeper“, „Red Ishtar“ ir „UNK_SteadySplit“. Abi grupės kartu klasifikuojamos pagal platesnes klasifikacijas, tokias kaip „Earth Preta“, „Hive0154“, „HoneyMyte“, „Stately Taurus“, „Temp.HEX“ ir „Twill Typhoon“.
Nors TA416 daugiausia siejamas su pritaikytais „PlugX“ kenkėjiškų programų variantais, „Mustang Panda“ dažnai naudoja tokius įrankius kaip „TONESHELL“, „PUBLOAD“ ir „COOLCLIENT“. Nepaisant šių skirtumų, abi grupės kaip pagrindinę vykdymo techniką labai remiasi DLL šoniniu įkėlimu, demonstruodamos bendrus veikimo metodus.
Adaptyvios infekcijos grandinės ir perdavimo būdai
TA416 pademonstravo didelį lankstumą nuolat tobulindamas savo užkrėtimo grandines. Kampanijose pastebėti metodai apima piktnaudžiavimą „Cloudflare Turnstile“ patvirtinimo puslapiais, „OAuth“ peradresavimo mechanizmų išnaudojimą ir kenkėjiškų C# projektų failų naudojimą.
Grupė platina kenkėjiškas programas per sukčiavimo el. laiškus, siunčiamus iš nemokamų pašto paskyrų. Šiuose laiškuose dažnai yra nuorodų į kenkėjiškus archyvus, saugomus tokiose platformose kaip „Microsoft Azure Blob Storage“, „Google Drive“, užpuolikų kontroliuojamuose domenuose arba pažeistose „SharePoint“ aplinkose.
Pagrindinė žvalgybos technika apima žiniatinklio blakes – mažus nematomus sekimo elementus, įterptus į el. laiškus. Jas atidarius, aktyvuojamos HTTP užklausos, kurios atskleidžia gavėjo metaduomenis, pvz., IP adresą, naudotojo agentą ir prieigos laiką, leisdamos užpuolikams patvirtinti įsitraukimą ir patikslinti taikymą.
OAuth piktnaudžiavimas ir debesijos pagrindu veikiantis kenkėjiškų programų platinimas
2025 m. pabaigoje TA416 kampanijose buvo panaudoti teisėti „Microsoft OAuth“ autorizacijos galiniai taškai. Aukos, spustelėjusios sukčiavimo nuorodas, buvo nukreipiamos per patikimus autentifikavimo srautus, o tada tyliai persiųstos į užpuoliko kontroliuojamą infrastruktūrą, kurioje buvo talpinami kenkėjiški duomenys.
Iki 2026 m. pradžios grupė dar labiau patobulino savo metodą, platindama archyvus per „Google“ diską ir pažeistus „SharePoint“ egzempliorius. Šiuose archyvuose buvo teisėtų „Microsoft MSBuild“ vykdomųjų failų kartu su kenkėjiškais C# projekto failais, taip sukuriant apgaulingą, bet veiksmingą vykdymo kelią.
MSBuild išnaudojimas ir kelių pakopų naudingosios apkrovos diegimas
„MSBuild“ programa atlieka itin svarbų vaidmenį TA416 užkrato grandinėje. Paleidus, ji automatiškai suranda ir sukompiliuoja projekto failus darbo kataloge. Šių atakų metu kenkėjiški CSPROJ failai veikia kaip atsisiuntimo programos, kurios dekoduoja „Base64“ koduotus URL ir nuskaito papildomus naudingosios apkrovos komponentus.
Procesas apima DLL šoninio įkėlimo paketo atsisiuntimą, jo saugojimą laikinajame kataloge ir teisėto dvejetainio failo, kuris įkelia „PlugX“ kenkėjišką programą, vykdymą. Šis kelių pakopų metodas pagerina slaptumą ir apsunkina aptikimą.
„PlugX“ galinių durų galimybės ir patvarumas
„PlugX“ išlieka pagrindiniu TA416 operacijų komponentu, nuosekliai diegiamas įvairiose kampanijose, nepaisant skirtingų pristatymo mechanizmų. Kenkėjiška programa užmezga užšifruotą ryšį su komandų ir kontrolės infrastruktūra ir prieš vykdydama atlieka antianalizės patikrinimus, kad būtų išvengta aptikimo.
Jo funkcionalumas leidžia plačiai valdyti sistemą ir išgauti duomenis. Pagrindinės galimybės apima:
- Išsamios sistemos informacijos rinkimas
- Pašalina save, kad išvengtų teismo ekspertizės analizės
- Ryšio intervalų su komandų serveriais keitimas
- Papildomų naudingųjų apkrovų atsisiuntimas ir vykdymas
- Atvirkštinės prieigos prie apvalkalo nustatymas nuotoliniam valdymui
Nuolatinė evoliucija ir strateginis taikymas
TA416 sugrįžimas prie Europos taikinių, prieš tai daugiausia dėmesio skiriant Pietryčių Azijai ir Mongolijai, rodo, kad vėl daug dėmesio skiriama su ES ir NATO susijusiai žvalgybos informacijos rinkimui. Tuo pat metu plėtra į operacijas Artimuosiuose Rytuose pabrėžia grupės reagavimą į pasaulinius konfliktus.
Grėsmės veikėjo noras tobulinti metodus – nuo suklastotų patvirtinimo puslapių iki piktnaudžiavimo „OAuth“ ir „MSBuild“ pagrindu vykdomo vykdymo – rodo nuolatinį įsipareigojimą vengti atakų ir užtikrinti veiklos efektyvumą. Nuolatinis „PlugX“ kenkėjiškos programos tobulinimas dar labiau pabrėžia jos, kaip sudėtingos, prisitaikančios kibernetinio šnipinėjimo grėsmės, vaidmenį.
