近年来,随着网络攻击手段的不断进化,威胁行为体之间的界限逐渐模糊。特别是以TA829和UNK_GreenSec两大恶意软件攻击组织为代表的团伙,展现出高度的技术协同和基础设施共享,使得网络安全防御面临更大挑战。TA829,也被称为CIGAR、Nebulous Mantis等多个别名,源自俄罗斯并以混合型攻击著称,既从事网络间谍工作,也涉及金融犯罪活动。相较之下,较新的UNK_GreenSec,则以其独特的TransferLoader加载器开展针对多个目标的勒索及信息窃取攻击。两者虽然目标略有差异,但近年来的深入调查显示,他们在攻击方法、基础设施运用及邮件钓鱼策略上存在大量交集。Proofpoint等安全企业揭露出,两者不仅采用了相似的远程访问工具,还共享了用于指挥控制的基础设备。
这种资源共享包括了租用的REM Proxy代理服务,该服务依托于被攻破的MikroTik路由器构建网络出口,进而为攻击者提供稳定的隐匿通信通道。攻击过程中,钓鱼邮件扮演承上启下的重要角色。两大组织普遍采用伪装为工作机会的邮件内容,引诱受害者点击内嵌链接或附件中的PDF文件。这些链接通过Rebrandly进行多层跳转,最终指向仿冒的Google Drive或OneDrive网页,有效规避沙箱检测和自动分析,使目标用户成为真正的牺牲品。然而,攻击链在链接被点击后分裂成两条路径:TA829系利用名为SlipScreen的第一阶段加载器,将恶意代码脱壳后注入内存执行,同时检查Windows注册表以判定设备真实性;而UNK_GreenSec则通过TransferLoader传输加载器,配合后续更隐蔽的恶意程序展开行动。SlipScreen的独特之处在于其依赖特定的注册表键值判断主机的“活跃度”,例如要求至少存在55个近期文档记录,防止沙箱或分析环境的误判。
此后,攻击者会部署如MeltingClaw(别名DAMASCENED PEACOCK)或RustyClaw等下载器,进而植入后门程序ShadyHammock和DustyHammock。特别是DustyHammock不仅具备情报侦察功能,还能够通过分布式存储协议IPFS加载更深度的恶意负载。反观UNK_GreenSec旗下TransferLoader主要目的是低调潜伏,通过获取远程代码执行权限为后续攻击如Morpheus勒索软件提供入口,令人警惕的是,Morpheus本质上为HellCat勒索软件的变种,展示出黑客团队极强的变异适应能力。值得关注的是,两大威胁集团均使用Putty的PLINK工具建立SSH隧道,以隐藏远程通信路径,加之依赖IPFS等去中心化平台存储恶意工具,极大地增加了追踪和取证的难度。钓鱼邮件通常使用自动化邮件生成工具批量创建大量发件人地址,从而提升伪装效果和攻击覆盖面。据分析,其发件人邮箱地址格式具有明显的系统生成特征,如类似ximajazehox333@gmail.com和hannahsilva1978@ukr.net等,进一步体现了攻击手法的自动化水平。
Proofpoint基于目前掌握的证据,提出了四种可能性来解释TA829与UNK_GreenSec的关系:要么两者共享同一家第三方基础设施供应商,要么TA829提供基础设施服务给UNK_GreenSec,同时也可能反向使用,或者二者实际上是同一个组织,不同名称反映其不同的攻击载体或阶段。无论哪种情况,二者的协同行动暴露了如今网络攻击生态中犯罪行为和国家级间谍活动日益融合的现实。网络安全界面临的困难不仅在于攻击技术的复杂多变,更在于对攻击来源和群体身份的准确识别困难。混合化的攻击手段让归因分析难度大幅提升,防御者必须在识别、响应和缓解环节做出更多努力。总结当前的研究与案例,TA829与UNK_GreenSec的活动展示了现代高级持续性威胁组织(APT)的特征:构建灵活多变的攻击链,采用多层次隐蔽载体,结合创新的基础设施和多手法混合策略,既能进行情报窃取,也能实现财务破坏。网络安全防护应紧跟威胁发展趋势,加强对钓鱼邮件链的检测,监控网络代理及异常通信,强化对被攻击网络设备如路由器的安全防护,并推动全球合作共享威胁情报。
未来,随着技术的持续革新和威胁环境的日益严峻,网络防御将愈发依赖自动化分析、行为检测以及基于AI的威胁预测。TA829与UNK_GreenSec的攻防博弈就是典型案例,提醒企业和安全机构要不断更新防御策略,提升整体韧性,防止被类似的复杂且隐蔽的攻击手段所侵扰。网络空间的安全,关系到数字经济的稳定发展和国家安全,一场持续的技术较量仍在无形中进行,唯有持续警惕并且积极应对,才能在这场没有硝烟的战争中占据主动。
