网络安全领域的知名公司Palo Alto Networks(派拓网络)的研究人员近日揭露了一个由中国政府支持的高度复杂黑客组织——“幻影金牛”(Phantom Taurus)。该组织在过去两年多的时间里,一直对全球范围内的政府机构和电信企业进行秘密间谍活动。这项于9月30日公布的发现,是研究人员历时多年深入调查的成果,他们将“幻影金牛”描述为当今最先进、最隐蔽的网络威胁行为者之一。
“幻影金牛”组织通过系统性的攻击,将目标锁定在非洲、中东和亚洲的外交部、各国使馆以及军事行动单位。其主要目的是窃取外交往来信息和国防相关情报。该组织的行动与中华人民共和国的战略利益高度契合,并且其攻击时机常常与重大的全球事件和区域安全事务相吻合。
先进恶意软件武器库:隐蔽且难以侦测
“幻影金牛”组织与其他中国高级持续性威胁(APT)组织的不同之处在于,其部署了一套名为NET-STAR的定制恶意软件工具集。该工具集专门用于攻击微软的互联网信息服务(IIS)网络服务器。NET-STAR包含三款高度复杂的后门程序,它们完全在内存中运行,这使得传统的杀毒系统难以留下可供取证分析的痕迹,从而有效规避了检测。
根据Palo Alto Networks旗下Unit 42研究团队的报告,NET-STAR工具包中包含IIServerCore,这是一个无文件模块化后门,支持在内存中执行命令和载荷。此外,它还包括两个版本的AssemblyExecuter,能够将额外的恶意软件直接加载到内存中。最新版本的NET-STAR更是具备了绕过Windows安全特性的能力,其中包括反恶意软件扫描接口(AMSI)和Windows事件追踪(ETW)。
Palo Alto Networks Cortex部门的威胁研究总监Assaf Dahan向CyberScoop表示,该组织所展现出的复杂程度“令人惊叹,远超常规”。他进一步指出,这些恶意软件展示了“先进的规避技术和对.NET架构的深刻理解,对面向互联网的服务器构成了重大威胁”。
战术演进:目标转向数据库
在过去一年中,“幻影金牛”组织的战术策略发生了显著演变,其攻击重点已从最初主要针对电子邮件服务器,转向直接攻击SQL Server数据库,以实现更全面的数据窃取。目前,该组织正利用一个名为mssq.bat的定制批处理脚本,远程查询并从数据库中提取信息,尤其关注与阿富汗和巴基斯坦等国家相关的数据。
这种战术上的转变表明,该组织对结构化数据存储库的关注度有所提高,使其能够比单纯通过电子邮件窃取信息更为高效地获取情报。此外,“幻影金牛”还长期保持对受感染系统的访问权限,研究人员已记录到在某些案例中,其网络访问权限持续了近两年之久。
“幻影金牛”的正式身份揭示,突显了中国网络间谍活动在全球范围内的不断扩大。研究人员估计,约四分之三的国家级网络威胁源自或代表中国政府利益运作。Unit 42研究团队预计,随着各组织检查其网络中是否存在研究报告中详细列出的入侵指标(IoC),未来将有更多受害者被识别出来。
