Multi-License Discount Quote
Banta sa Database Advanced Persistent Threat (APT) Pag-atake sa Phishing ng TA416

Pag-atake sa Phishing ng TA416

Sa pamamagitan ng Mezo sa Advanced Persistent Threat (APT), Malware, Phishing
Isalin To:

Mula noong kalagitnaan ng 2025, isang aktor ng banta na kakampi ng Tsina ang muling lumitaw na may matinding pagtuon sa gobyerno ng Europa at mga diplomatikong entidad, kasunod ng halos dalawang taon ng nabawasang aktibidad sa rehiyon. Ang kampanyang ito ay iniugnay sa TA416, isang kumpol ng banta na nauugnay din sa DarkPeony, RedDelta, Red Lich, SmugX, UNC6384, at Vertigo Panda.

Pangunahing tinarget ng mga operasyon ang mga misyong diplomatiko na konektado sa European Union at NATO sa iba't ibang bansa. Ang mga kampanyang ito ay binubuo ng mga koordinadong alon na kinasasangkutan ng pagsubaybay sa web bug at paghahatid ng malware, na nagpapahiwatig ng isang nakabalangkas at patuloy na pagsisikap sa pangangalap ng impormasyon.

Lumalawak na Saklaw na Hinihimok ng mga Tensyon sa Geopolitika

Pinalawak ng TA416 ang saklaw ng operasyon nito lampas sa Europa, naglunsad ng mga kampanya laban sa gobyerno at mga organisasyong diplomatiko sa Gitnang Silangan kasunod ng paglala ng tunggalian sa pagitan ng US at Israel at Iran noong Pebrero 2026.

Ang pagpapalawak na ito ay sumasalamin sa isang estratehikong pagsisikap na mangalap ng sensitibong panrehiyong katalinuhan, na nagpapakita kung paano ang mga prayoridad sa pag-target ng grupo ay malapit na nakahanay sa mga umuusbong na pag-unlad sa geopolitika.

Mga Nagpapatong-patong na Ekosistema ng Banta at Mga Pinagsasaluhang Teknik

Ang TA416 ay may kapansin-pansing teknikal na pagkakatulad sa isa pang advanced threat cluster na karaniwang kilala bilang Mustang Panda, na tinutukoy din bilang CerenaKeeper, Red Ishtar, at UNK_SteadySplit. Ang parehong grupo ay sama-samang sinusubaybayan sa ilalim ng mas malawak na klasipikasyon tulad ng Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX, at Twill Typhoon.

Bagama't ang TA416 ay pangunahing nauugnay sa mga customized na variant ng PlugX malware, ang Mustang Panda ay madalas na gumagamit ng mga tool tulad ng TONESHELL, PUBLOAD, at COOLCLIENT. Sa kabila ng mga pagkakaibang ito, ang parehong grupo ay lubos na umaasa sa DLL side-loading bilang isang pangunahing pamamaraan ng pagpapatupad, na nagpapakita ng mga ibinahaging metodolohiya sa pagpapatakbo.

Mga Adaptive Infection Chain at Mga Teknik sa Paghahatid

Nagpakita ang TA416 ng mataas na antas ng kakayahang umangkop sa pamamagitan ng patuloy na pagpapaunlad ng mga kadena ng impeksyon nito. Kabilang sa mga pamamaraang naobserbahan sa mga kampanya ang pang-aabuso sa mga pahina ng pag-verify ng Cloudflare Turnstile, pagsasamantala sa mga mekanismo ng pag-redirect ng OAuth, at ang paggamit ng mga malisyosong C# project file.

Namamahagi ang grupo ng malware sa pamamagitan ng mga phishing email na ipinapadala mula sa mga freemail account. Kadalasang kasama sa mga mensaheng ito ang mga link sa mga malisyosong archive na naka-host sa mga platform tulad ng Microsoft Azure Blob Storage, Google Drive, mga domain na kontrolado ng attacker, o mga nakompromisong SharePoint environment.

Ang isang mahalagang pamamaraan ng pagmamanman ay kinabibilangan ng paggamit ng mga web bug, maliliit na hindi nakikitang elemento ng pagsubaybay na naka-embed sa mga email. Kapag binuksan, nagti-trigger ang mga ito ng mga HTTP request na naglalantad sa metadata ng tatanggap tulad ng IP address, user agent, at oras ng pag-access, na nagpapahintulot sa mga umaatake na kumpirmahin ang pakikipag-ugnayan at pinuhin ang pag-target.

Pag-abuso sa OAuth at Paghahatid ng Cloud-Based Malware

Sa huling bahagi ng 2025, ginamit ng mga kampanyang TA416 ang mga lehitimong endpoint ng awtorisasyon ng Microsoft OAuth. Ang mga biktimang nagki-click sa mga phishing link ay na-redirect sa pamamagitan ng mga pinagkakatiwalaang daloy ng pagpapatotoo bago tahimik na ipinapasa sa imprastrakturang kontrolado ng attacker na nagho-host ng mga malisyosong payload.

Pagsapit ng unang bahagi ng 2026, mas pinagbuti pa ng grupo ang kanilang pamamaraan sa pamamagitan ng pamamahagi ng mga archive sa pamamagitan ng Google Drive at mga nakompromisong SharePoint instances. Ang mga archive na ito ay naglalaman ng mga lehitimong Microsoft MSBuild executable kasama ng mga malisyosong C# project file, na lumilikha ng isang mapanlinlang ngunit epektibong landas sa pagpapatupad.

Pagsasamantala sa MSBuild at Pag-deploy ng Multi-Stage Payload

Ang MSBuild utility ay gumaganap ng mahalagang papel sa infection chain ng TA416. Kapag pinatakbo, awtomatiko nitong hinahanap at kino-compile ang mga project file sa loob ng working directory. Sa mga pag-atakeng ito, ang mga malisyosong CSPROJ file ay nagsisilbing mga downloader na nagde-decode ng mga Base64-encoded na URL at kumukuha ng mga karagdagang payload component.

Ang proseso ay kinabibilangan ng pag-download ng isang DLL side-loading package, pag-iimbak nito sa isang pansamantalang direktoryo, at pagpapatupad ng isang lehitimong binary na naglo-load ng PlugX malware. Ang multi-stage na pamamaraang ito ay nagpapahusay sa stealth at nagpapakomplikado sa pagtuklas.

Mga Kakayahan at Pagtitiyaga ng PlugX Backdoor

Ang PlugX ay nananatiling isang pangunahing bahagi ng mga operasyon ng TA416, na palaging inilalapat sa mga kampanya sa kabila ng mga pagkakaiba-iba sa mga mekanismo ng paghahatid. Ang malware ay nagtatatag ng naka-encrypt na komunikasyon gamit ang Command-and-Control infrastructure at nagsasagawa ng mga anti-analysis check bago isagawa upang maiwasan ang pagtuklas.

Ang kakayahan nito ay nagbibigay-daan sa malawakang pagkontrol ng sistema at pagkuha ng datos. Kabilang sa mga pangunahing kakayahan ang:

  • Pagkolekta ng detalyadong impormasyon ng sistema
  • Pag-alis ng sarili upang maiwasan ang forensic analysis
  • Pagbabago ng mga agwat ng komunikasyon gamit ang mga command server
  • Pag-download at pagpapatupad ng mga karagdagang payload
  • Pagtatatag ng reverse shell access para sa remote control

Patuloy na Ebolusyon at Istratehikong Pag-target

Ang pagbabalik ng TA416 sa mga target sa Europa matapos tumuon sa Timog-silangang Asya at Mongolia ay hudyat ng panibagong diin sa pangongolekta ng impormasyon na may kaugnayan sa EU at NATO. Kasabay nito, ang pagpapalawak sa mga operasyon sa Gitnang Silangan ay nagbibigay-diin sa pagtugon ng grupo sa mga pandaigdigang tunggalian.

Ang kahandaan ng aktor ng banta na ulitin ang mga pamamaraan, mula sa mga pekeng pahina ng beripikasyon hanggang sa pang-aabuso sa OAuth at pagpapatupad batay sa MSBuild, ay nagpapakita ng patuloy na pangako sa pag-iwas at pagiging epektibo sa operasyon. Ang patuloy na pagpipino ng PlugX malware nito ay lalong nagbibigay-diin sa papel nito bilang isang sopistikado at adaptibong banta sa cyber-espionage.

 

Trending

Pinaka Nanood

Naglo-load...