Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Serangan Pancingan Data TA416

Serangan Pancingan Data TA416

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), perisian hasad, Pancingan data
Terjemahkan ke

Sejak pertengahan tahun 2025, pelaku ancaman yang bersekutu dengan China telah muncul semula dengan tumpuan yang kuat terhadap kerajaan Eropah dan entiti diplomatik, susulan hampir dua tahun aktiviti yang berkurangan di rantau ini. Kempen ini telah dikaitkan dengan TA416, kluster ancaman yang juga dikaitkan dengan DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 dan Vertigo Panda.

Operasi terutamanya menyasarkan misi diplomatik yang berkaitan dengan Kesatuan Eropah dan NATO merentasi pelbagai negara. Kempen ini terdiri daripada gelombang terselaras yang melibatkan pengesanan pepijat web dan penghantaran perisian hasad, menunjukkan usaha pengumpulan risikan yang berstruktur dan berterusan.

Skop yang Diperluas Didorong oleh Ketegangan Geopolitik

TA416 telah meluaskan jangkauan operasinya di luar Eropah, melancarkan kempen menentang kerajaan dan organisasi diplomatik di Timur Tengah susulan peningkatan konflik AS-Israel-Iran pada Februari 2026.

Pengembangan ini mencerminkan usaha strategik untuk mengumpul risikan serantau yang sensitif, menonjolkan bagaimana keutamaan penyasaran kumpulan itu sejajar dengan perkembangan geopolitik yang sentiasa berubah.

Ekosistem Ancaman Bertindih dan Teknik Berkongsi

TA416 berkongsi pertindihan teknikal yang ketara dengan kluster ancaman canggih lain yang biasa dikenali sebagai Mustang Panda, juga dirujuk sebagai CerenaKeeper, Red Ishtar dan UNK_SteadySplit. Kedua-dua kumpulan ini dijejaki secara kolektif di bawah klasifikasi yang lebih luas seperti Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX dan Twill Typhoon.

Walaupun TA416 terutamanya dikaitkan dengan varian perisian hasad PlugX yang disesuaikan, Mustang Panda kerap menggunakan alat seperti TONESHELL, PUBLOAD dan COOLCLIENT. Walaupun terdapat perbezaan ini, kedua-dua kumpulan sangat bergantung pada pemuatan sisi DLL sebagai teknik pelaksanaan teras, menunjukkan metodologi operasi yang dikongsi.

Rantai Jangkitan Adaptif dan Teknik Penyampaian

TA416 telah menunjukkan tahap fleksibiliti yang tinggi dengan terus mengembangkan rantaian jangkitannya. Teknik yang diperhatikan merentasi kempen termasuk penyalahgunaan halaman pengesahan Cloudflare Turnstile, eksploitasi mekanisme pengalihan OAuth dan penggunaan fail projek C# yang berniat jahat.

Kumpulan ini mengedarkan perisian hasad melalui e-mel pancingan data yang dihantar daripada akaun freemail. Mesej-mesej ini selalunya merangkumi pautan ke arkib berniat jahat yang dihoskan pada platform seperti Microsoft Azure Blob Storage, Google Drive, domain yang dikawal oleh penyerang atau persekitaran SharePoint yang diceroboh.

Teknik peninjauan utama melibatkan penggunaan pepijat web, iaitu elemen penjejakan kecil yang tidak kelihatan yang terbenam dalam e-mel. Apabila dibuka, ia akan mencetuskan permintaan HTTP yang mendedahkan metadata penerima seperti alamat IP, ejen pengguna dan masa akses, membolehkan penyerang mengesahkan penglibatan dan memperhalusi penyasaran.

Penyalahgunaan OAuth dan Penghantaran Perisian Hasad Berasaskan Awan

Pada akhir tahun 2025, kempen TA416 memanfaatkan titik akhir kebenaran Microsoft OAuth yang sah. Mangsa yang mengklik pautan pancingan data telah dialihkan melalui aliran pengesahan yang dipercayai sebelum dihantar secara senyap ke infrastruktur yang dikawal oleh penyerang yang mengehos muatan berniat jahat.

Menjelang awal tahun 2026, kumpulan itu memperhalusi lagi pendekatannya dengan mengedarkan arkib melalui Google Drive dan contoh SharePoint yang dikompromikan. Arkib ini mengandungi fail boleh laku Microsoft MSBuild yang sah di samping fail projek C# yang berniat jahat, mewujudkan laluan pelaksanaan yang mengelirukan tetapi berkesan.

Eksploitasi MSBuild dan Pelaksanaan Muatan Berbilang Peringkat

Utiliti MSBuild memainkan peranan penting dalam rantaian jangkitan TA416. Apabila dilaksanakan, ia secara automatik akan mencari dan menyusun fail projek dalam direktori kerja. Dalam serangan ini, fail CSPROJ yang berniat jahat bertindak sebagai pemuat turun yang menyahkod URL yang dikodkan Base64 dan mendapatkan komponen muatan tambahan.

Proses ini melibatkan memuat turun pakej pemuatan sisi DLL, menyimpannya dalam direktori sementara dan melaksanakan binari sah yang memuatkan perisian hasad PlugX. Pendekatan berbilang peringkat ini meningkatkan kerahsiaan dan merumitkan pengesanan.

Keupayaan dan Kegigihan Pintu Belakang PlugX

PlugX kekal sebagai komponen utama operasi TA416, digunakan secara konsisten merentasi kempen meskipun terdapat variasi dalam mekanisme penyampaian. Perisian hasad ini mewujudkan komunikasi yang disulitkan dengan infrastruktur Perintah dan Kawalan dan melakukan pemeriksaan anti-analisis sebelum pelaksanaan untuk mengelakkan pengesanan.

Fungsinya membolehkan kawalan sistem yang meluas dan penyaringan data. Keupayaan teras termasuk:

  • Mengumpul maklumat sistem terperinci
  • Mengeluarkan dirinya untuk mengelakkan analisis forensik
  • Mengubah suai selang komunikasi dengan pelayan arahan
  • Memuat turun dan melaksanakan muatan tambahan
  • Menetapkan akses cangkerang terbalik untuk alat kawalan jauh

Evolusi Berterusan dan Penargetan Strategik

Kepulangan TA416 ke sasaran Eropah selepas memberi tumpuan kepada Asia Tenggara dan Mongolia menandakan penekanan baharu terhadap pengumpulan risikan berkaitan EU dan NATO. Pada masa yang sama, pengembangan ke dalam operasi Timur Tengah menggariskan tindak balas kumpulan itu terhadap konflik global.

Kesediaan pelaku ancaman untuk mengulangi teknik, daripada halaman pengesahan palsu kepada penyalahgunaan OAuth dan pelaksanaan berasaskan MSBuild, menunjukkan komitmen berterusan terhadap pengelakan dan keberkesanan operasi. Penambahbaikan berterusan perisian hasad PlugXnya menggariskan lagi peranannya sebagai ancaman pengintipan siber yang canggih dan adaptif.

 

Trending

Paling banyak dilihat

Memuatkan...