事件概述
2025年7月至8月期间,TA415组织开展了针对美国政府、智库和学术机构的鱼叉式网络钓鱼活动,使用美中经济关系主题作为诱饵。该组织冒充美国与中国共产党战略竞争特别委员会现任主席以及美中贸易全国委员会,主要针对专注于美中关系、贸易和经济政策的个人和组织。
TA415的网络钓鱼活动试图建立Visual Studio Code远程隧道,使威胁行为者能够在不使用传统恶意软件的情况下获得持久远程访问。该组织近期持续使用合法服务进行命令和控制,包括Google Sheets、Google Calendar和VS Code远程隧道,这可能是TA415为了混入这些可信服务的合法流量中而采取的有意行动。
恶意软件投递
在2024年8月多次投放Voldemort后门的网络钓鱼活动后,Proofpoint观察到TA415改变了战术、技术和程序,开始使用VS Code远程隧道。2024年9月,该组织使用与之前投递Voldemort高度相似的感染链,通过被跟踪为WhirlCoil的混淆Python加载器投递VS Code远程隧道。
2025年7月开始,Proofpoint威胁研究团队观察到TA415开展了一系列针对美国智库、政府和学术组织的活动,主要针对国际贸易、经济政策和美中关系领域的专家。
感染链分析
网络钓鱼邮件通常包含指向托管在公共云共享服务上的密码保护存档文件的链接。下载的存档文件包含一个Microsoft快捷方式文件以及其他存储在隐藏子文件夹中的文件。
批处理脚本通过pythonw.exe执行WhirlCoil Python加载器,该加载器是一个经过混淆的Python脚本。脚本首先从合法的Microsoft源下载VSCode命令行界面压缩包,然后检查用户是否为管理员,并创建计划任务以实现持久化。
WhirlCoil脚本随后运行命令建立通过GitHub认证的VS Code远程隧道,收集系统信息和用户目录内容,并通过POST请求将这些信息发送到免费请求记录服务。威胁行为者随后能够认证VS Code远程隧道,并通过内置的Visual Studio终端远程访问文件系统并执行任意命令。
归因分析
根据美国政府起诉书,TA415是位于中国成都的私人承包商,以成都404网络技术公司名义运营。Proofpoint基于与已知TA415基础设施的多个独立重叠、使用的TTPs以及与中方利益一致的目标模式,高度确信地将此活动归因于TA415。
危害指标
电子邮件地址
- uschina@zohomail[.]com
- johnmoolenaar[.]mail[.]house[.]gov@zohomail[.]com
- john[.]moolenaar[.]maii[.]house[.]gov@outlook[.]com
URL地址
- https://www.dropbox[.]com/scl/fi/d1gceow3lpvg2rlb45zl4/USCBC_Meeting_Info_20250811.rar
- https://od[.]lk/d/OTRfMTA3OTczMjQwXw/USCBC_20250811_Meeting_Info.7z
- http://requestrepo[.]com/r/2yxp98b3/
SHA256哈希值
- 29cfd63b70d59761570b75a1cc4a029312f03472e7f1314c806c4fb747404385
- 32bf3fac0ca92f74c2dd0148c29e4c4261788fb082fbaec49f9e7cd1fda96f56
- 10739e1f1cf3ff69dbec5153797a1f723f65d371950007ce9f1e540ebdc974ed