新型中国APT组织"幻影金牛"以精准和持久性发起攻击

一个此前未被记录的中国国家支持行为体正在非洲、中东和亚洲针对政府机构、大使馆、军事行动和其他实体进行网络间谍活动，其操作既复杂又隐蔽且持久。

精准的外科手术式攻击

Palo Alto Networks Unit 42 团队威胁研究主管 Assaf Dahan 表示：“幻影金牛通过其外科手术般的精准度、前所未有的持久性以及使用高度复杂的定制工具包，与其他中国APT组织区分开来。”

与许多依赖广泛钓鱼活动的中国威胁行为者不同，幻影金牛的攻击策略更加精准。Dahan 表示，幻影金牛攻击者经常通过细致研究然后直接针对关键基础设施（如易受攻击的Web和邮件服务器）来完全绕过用户。“这种聚焦方法使他们能够精确定位将授予他们访问所需信息的精确系统和个人。”

前所未有的持久性

幻影金牛的持久性加剧了威胁。Dahan 表示，与大多数在发现后停用数周或数月以重新装备的APT不同，幻影金牛在几小时或几天内就会重新出现。“这种愿意冒着再次暴露风险的态度突显了他们任务的关键性质以及不惜一切代价维持访问权限的决心。”

Unit 42 最初将该威胁行为者跟踪为 CL-STA-0043，后来称为 TGR-STA-0043，又名"外交幽灵行动"。该安全供应商在分析过去一年的威胁活动后，最近决定正式将该组织指定为一个新的与中国相关的APT。

数据收集技术演进

简而言之，幻影金牛的任务似乎是收集对中国政府具有经济和政治地缘利益的敏感和非公开信息。这包括外交通信、军事情报和其他政府信息，特别是围绕重大区域和全球事件的信息。

最初，该威胁行为者通过渗透邮件服务器并窃取受害组织的消息来收集这些信息。最近，幻影金牛开始直接针对包含他们寻求数据的数据库。自今年年初以来，该威胁行为者一直在使用脚本"mssq.bat"，使用先前获得的系统管理员凭据连接到 SQL Server 数据库。然后该组织一直在使用自定义 SQL 查询在受感染系统上搜索特定表和关键字，导出所有匹配结果然后关闭连接。

新型.NET恶意软件套件

此外，Unit 42 发现幻影金牛使用一个新的.NET恶意软件套件（他们跟踪为 NET-STAR）来入侵 Internet Information Services (IIS) Web 服务器。该恶意软件几乎完全在内存中运行，包含一个建立加密命令和控制(C2)会话的无文件后门。后门(IIServerCore)接受命令和编码的.NET有效负载，并可以执行不同的任务，包括在受感染系统上执行任意代码。为避免轻易检测，威胁行为者更改文件系统时间戳以匹配系统上其他文件的时间戳。

Unit 42 研究人员还发现 NET-STAR 包括两个 AssemblyExecuter 加载器（v1 和增强的 v2），允许幻影金牛攻击者动态加载额外的.NET恶意软件。根据 Unit 42 的说法，较新的 v2 版本增加了高级规避技术，如反恶意软件扫描接口(AMSI)绕过和 Windows 事件跟踪(ETW)绕过。

“Dahan 表示：“这个工具包展示了对 Windows 环境的深入理解，并包括高级组件，如 IIServerCore，一个在内存中执行以逃避检测的无文件后门。“AssemblyExecuter V2，[是]一个具有内置功能的有效负载，可以绕过现代安全工具，如 AMSI 和 ETW，有效地使组织的防御系统失明。”

其他定制恶意软件支持

幻影金牛的操作方法也得到了其他定制恶意软件的支持。“为了进行邮件窃取，他们部署了一个以前未记录的后门家族，名为 TunnelSpecter 和 SweetSpecter，以入侵邮件服务器并基于与 OPEC、军事情报和国际关系等主题相关的关键字搜索窃取整个邮箱，” Dahan 说。

有趣的是，虽然幻影金牛采用了与其他与中国结盟的高级持续性威胁不同的策略和技术，但其许多攻击基础设施并非如此。Dahan 表示，Unit 42 发现该威胁行为者使用的服务器和其他基础设施与其他已知的中国 APT 组织（如 Iron Taurus（又名 APT27）、Starchy Taurus（又名 Winnti）和 Stately Taurus（又名 Mustang Panda））有明显的重叠。

他补充说，幻影金牛使用的 C2 与其他威胁组织使用的 IP 地址相同，其活动中的许多恶意域具有相同的注册信息和相同的主机提供商。