Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Atak phishingowy TA416

Atak phishingowy TA416

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie, Phishing
Przetłumacz na:

Od połowy 2025 roku, po prawie dwóch latach zmniejszonej aktywności w regionie, ponownie pojawił się powiązany z Chinami podmiot zagrażający, który koncentruje się na europejskich rządach i placówkach dyplomatycznych. Kampania ta została przypisana atakowi TA416, klastrowi zagrożeń powiązanemu również z DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 i Vertigo Panda.

Działania te były skierowane głównie do misji dyplomatycznych powiązanych z Unią Europejską i NATO w wielu krajach. Kampanie te składają się ze skoordynowanych fal obejmujących śledzenie podatności internetowych i dostarczanie złośliwego oprogramowania, co wskazuje na zorganizowane i ciągłe działania wywiadowcze.

Rozszerzanie zakresu napędzane napięciami geopolitycznymi

Operacja TA416 rozszerzyła zasięg operacyjny poza Europę, rozpoczynając kampanie przeciwko organizacjom rządowym i dyplomatycznym na Bliskim Wschodzie po eskalacji konfliktu między USA, Izraelem i Iranem w lutym 2026 r.

Ekspansja ta jest odzwierciedleniem strategicznych wysiłków mających na celu zbieranie poufnych informacji wywiadowczych o zasięgu regionalnym i pokazuje, w jaki sposób priorytety grupy w zakresie działań są ściśle powiązane z ewoluującymi wydarzeniami geopolitycznymi.

Nakładające się na siebie ekosystemy zagrożeń i wspólne techniki

TA416 wykazuje istotne podobieństwa techniczne do innego zaawansowanego klastra zagrożeń, powszechnie znanego jako Mustang Panda, znanego również jako CerenaKeeper, Red Ishtar i UNK_SteadySplit. Obie grupy są śledzone łącznie w ramach szerszych klasyfikacji, takich jak Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX i Twill Typhoon.

Podczas gdy TA416 jest kojarzony głównie z niestandardowymi wariantami złośliwego oprogramowania PlugX, Mustang Panda często wdraża narzędzia takie jak TONESHELL, PUBLOAD i COOLCLIENT. Pomimo tych różnic, obie grupy w dużym stopniu opierają się na bocznym ładowaniu bibliotek DLL jako podstawowej technice wykonywania, co demonstruje wspólne metodologie operacyjne.

Adaptacyjne łańcuchy infekcji i techniki dostarczania

Wirus TA416 wykazał się dużą elastycznością, stale rozwijając swoje łańcuchy infekcji. Techniki zaobserwowane w kampaniach obejmują nadużycia stron weryfikacyjnych Cloudflare Turnstile, wykorzystywanie mechanizmów przekierowań OAuth oraz wykorzystywanie złośliwych plików projektów C#.

Grupa dystrybuuje złośliwe oprogramowanie za pośrednictwem wiadomości phishingowych wysyłanych z kont freemail. Wiadomości te często zawierają linki do złośliwych archiwów hostowanych na platformach takich jak Microsoft Azure Blob Storage, Google Drive, domeny kontrolowane przez atakujących lub zainfekowane środowiska SharePoint.

Kluczową techniką rozpoznania jest wykorzystanie błędów internetowych (web bugs), czyli małych, niewidocznych elementów śledzących osadzonych w wiadomościach e-mail. Po otwarciu wyzwalają one żądania HTTP, które ujawniają metadane odbiorcy, takie jak adres IP, agent użytkownika i czas dostępu, umożliwiając atakującym potwierdzenie zaangażowania i udoskonalenie strategii kierowania.

Nadużycia protokołu OAuth i dostarczanie złośliwego oprogramowania w chmurze

Pod koniec 2025 roku kampanie TA416 wykorzystywały legalne punkty końcowe autoryzacji OAuth firmy Microsoft. Ofiary klikające w linki phishingowe były przekierowywane przez zaufane przepływy uwierzytelniania, a następnie po cichu przekierowywane do kontrolowanej przez atakujących infrastruktury, w której znajdowały się złośliwe dane.

Na początku 2026 roku grupa udoskonaliła swoje podejście, dystrybuując archiwa za pośrednictwem Dysku Google i zainfekowanych instancji programu SharePoint. Archiwa te zawierały legalne pliki wykonywalne Microsoft MSBuild oraz złośliwe pliki projektów C#, tworząc zwodniczą, ale skuteczną ścieżkę wykonywania.

Eksploatacja MSBuild i wieloetapowe wdrażanie ładunku

Narzędzie MSBuild odgrywa kluczową rolę w łańcuchu infekcji TA416. Po uruchomieniu automatycznie lokalizuje i kompiluje pliki projektu w katalogu roboczym. W tych atakach złośliwe pliki CSPROJ działają jak programy pobierające, dekodujące adresy URL zakodowane w formacie Base64 i pobierając dodatkowe komponenty ładunku.

Proces ten polega na pobraniu pakietu DLL, zapisaniu go w katalogu tymczasowym i uruchomieniu legalnego pliku binarnego, który ładuje złośliwe oprogramowanie PlugX. To wieloetapowe podejście zwiększa poziom ukrycia i komplikuje wykrywanie.

Możliwości i trwałość tylnych drzwi PlugX

PlugX pozostaje centralnym komponentem działań TA416, konsekwentnie wdrażanym w kampaniach, pomimo różnic w mechanizmach dostarczania. Szkodliwe oprogramowanie nawiązuje szyfrowaną komunikację z infrastrukturą Command-and-Control i przeprowadza testy anty-analityczne przed uruchomieniem, aby uniknąć wykrycia.

Jego funkcjonalność umożliwia rozległą kontrolę systemu i eksfiltrację danych. Podstawowe możliwości obejmują:

  • Zbieranie szczegółowych informacji o systemie
  • Usunięcie się w celu uniknięcia analizy kryminalistycznej
  • Modyfikowanie interwałów komunikacji z serwerami poleceń
  • Pobieranie i wykonywanie dodatkowych ładunków
  • Nawiązywanie dostępu do powłoki odwrotnej w celu zdalnego sterowania

Ciągła ewolucja i strategiczne ukierunkowanie

Powrót TA416 do celów europejskich, po skoncentrowaniu się na Azji Południowo-Wschodniej i Mongolii, sygnalizuje odnowiony nacisk na gromadzenie danych wywiadowczych związanych z UE i NATO. Jednocześnie ekspansja na operacje na Bliskim Wschodzie podkreśla zdolność grupy do reagowania na konflikty globalne.

Gotowość atakującego do iterowania technik, od fałszywych stron weryfikacyjnych, przez nadużywanie protokołu OAuth, po wykonywanie ataków w oparciu o MSBuild, świadczy o jego stałym zaangażowaniu w unikanie ataków i skuteczność operacyjną. Ciągłe udoskonalanie złośliwego oprogramowania PlugX dodatkowo podkreśla jego rolę jako wyrafinowanego, adaptacyjnego zagrożenia cybernetycznego.

 

Popularne

Oszustwo e-mailowe „Twoja chmura jest wyłączona”

Phishing, Spam
Nieoczekiwane wiadomości e-mail, zwłaszcza te, które wywołują pilną potrzebę lub niepokój, należy zawsze traktować z ostrożnością. Cyberprzestępcy często maskują fałszywe wiadomości pod postacią legalnych powiadomień, aby nakłonić odbiorców do podjęcia szkodliwych działań. Należy podkreślić, że oszustwa takie jak e-maile z informacją „Twoja chmura jest wyłączona” nie są powiązane z żadnymi...

Najczęściej oglądane

Ładowanie...