随着数字化时代的不断发展,网络安全威胁也愈发复杂和隐蔽。近期,一起针对台湾及东亚地区的高级网络间谍行动引发了广泛关注。该行动中,威胁行为者劫持了已被遗弃的搜狗注音更新服务器,利用其作为载体传播多种恶意软件,实施情报收集和远程控制,展现了网络攻击者日益精巧的攻击手段和深远的战略意图。搜狗注音作为一款广泛使用的输入法编辑器(IME)软件,其更新服务器自2019年关闭后长期处于闲置状态。然而,攻击者于2024年10月接管了该域名及相关服务器,将其转变为传播恶意软件的渠道。该劫持行为不仅利用了被遗弃的软件基础设施的薄弱点,也体现出攻击者深谋远虑的攻击布局,为网络间谍活动提供了便利。
影响范围涵盖了包括中国大陆、台湾、香港、日本、韩国以及海外台湾社区在内的广大东亚地区,尤以台湾为首要目标,占据受害者总数的近一半。攻击目标主要是政治异见人士、记者、研究学者以及科技和商业领袖,这些高价值目标极大地体现出攻击者的情报收集需求和战略侧重点。攻击流程始于用户从网上下载搜狗注音的官方安装程序,此安装程序本身无恶意。然而,安装后的自动更新机制被篡改,导致更新程序“ZhuyinUp.exe”从被劫持的服务器拉取含恶意指令的配置文件,进而下载并执行多款恶意软件。被发现的恶意软件包括TOSHIS、DESFY、GTELAM和C6DOOR等多种类型。TOSHIS作为一种加载器,负责从远程服务器获取下一阶段的payload,如Cobalt Strike或Merlin代理程序,为攻击者提供持续远程控制能力。
该加载器的变体与知名的Xiangoop工具相似,后者曾被关联至“Tropic Trooper”等高级持续性威胁组织。DESFY和GTELAM是两款针对文档和文件名称的间谍软件,前者主要收集桌面和程序文件目录下的文件名,后者聚焦于特定文件格式如PDF、DOC和PPT文件的搜集,并将信息上传到谷歌云端硬盘。C6DOOR则是一款基于Go语言开发的复杂后门,具备通过HTTP和WebSocket协议与命令控制服务器通信的能力。该后门拥有收集系统信息、执行任意命令、文件操作、屏幕截图、进程管理、目录枚举及进程注入等多种功能,显示出攻击者强大的渗透和操控能力。更值得注意的是,分析中的C6DOOR样本内嵌有简体中文字符,暗示攻击团队可能具备中文语言背景,也反映出其针对华人社群的精准定位。从攻击者的行动策略来看,整体呈现以侦察为主的特征。
大多数感染系统未见进一步的后续利用活动,攻击者似乎在为后续深度渗透做准备。个别案例中,攻击者利用Visual Studio Code建立连接隧道,显示其对目标环境进行深入勘察与准备。除了更新服务器劫持外,该行动还通过精心设计的钓鱼网站以及有针对性的钓鱼邮件发动攻击。钓鱼攻击以类似免费优惠券或PDF阅读器的诱饵吸引受害者,通过伪造登录页面获取用户授权,并利用OAuth机制控制用户的谷歌或微软邮箱账户。此外,仿冒腾讯云StreamLink的伪装云存储页面被用于诱导受害者下载恶意压缩包,配备了多阶段攻击载荷。钓鱼邮件设计巧妙,带有隐藏陷阱的链接及伪装文件,诱导受害者互动并触发恶意程序的执行,从而实现对系统的控制和数据的窃取。
该网络间谍行动被安全公司命名为TAOTH,显示出其持续性和针对性。安全研究人员还发现,TAOTH与此前记载的ITOCHU威胁活动存在工具和基础设施上的重合,表明背后的攻击团队具备一定的历史延续性和行动经验。面对这类利用被遗弃软件资源实施的攻击,组织和个人应高度重视软件生命周期管理。及时识别并移除不再受支持、停止更新的应用程序极为关键。此外,谨慎授予第三方云应用权限,尤其是在OAuth授权时,应充分评估权限请求的合理性,防止帐号被滥用。在网络安全防御层面,持续监控网络流量中的异常行为,尤其是与云存储服务相关的数据上传活动,有助于发现潜在的数据外泄风险。
针对钓鱼攻击,应加强员工的安全意识培训和钓鱼邮件识别能力,配合多因素认证等技术手段减少账号被攻破的机会。综合来看,本次搜狗注音更新服务器的劫持事件暴露出网络攻击者善于利用被遗弃网络资产实施精细化、多阶段攻击的现实风险。台湾及东亚地区的重要信息安全面临严峻挑战,呼吁相关企业和政府部门加强网络安全建设,加强对关键基础设施的持续安全监测与风险评估。随着网络空间的安全威胁不断演变,构建全方位的防护体系,提升对供应链安全和软件生命周期管理的意识,成为保障国家安全和信息安全的重要一环。未来,依托先进的威胁情报共享与跨国合作,加快响应速度与处置效率,是应对此类复杂网络间谍活动的关键所在。只有多维度、多层次的安全策略,才能有效抵御类似搜狗注音更新服务器劫持的威胁,保障数字社会的健康稳定发展。
。
