近日,趨勢科技研究人員發現了一起名為「TAOTH」的複雜網路間諜活動,攻擊者利用已廢棄的搜狗注音輸入法更新伺服器作為攻擊跳板,針對東亞地區用戶進行大規模滲透。該活動於2025年6月首次被發現,主要受害者包括異議人士、記者、研究人員以及科技與商業領袖。
在受害地區分布方面,台灣佔了49%成為最大受害地區,其次是柬埔寨的11%和美國的7%,其餘受害者則分布在其他東亞國家和海外台灣社群。
域名劫持策略
攻擊者於2024年10月取得了已失效的搜狗注音域名「sogouzhuyin[.]com」的控制權。搜狗注音是一款合法的輸入法軟體,但自2019年6月起已停止更新維護。攻擊者在註冊該域名後,開始利用其分發惡意載荷,估計影響了數百名受害者。
攻擊的感染鏈條包含四個關鍵步驟。首先,用戶從網路下載官方搜狗注音安裝程式,例如從維基百科條目連結下載。接著,在安裝完成數小時後,自動更新程序會自動啟動。第三步是更新程序「ZhuyinUp.exe」會從惡意域名「srv-pc.sogouzhuyin[.]com」獲取配置文件。最後,透過偽造的更新機制部署多種惡意軟體。
其中一項惡意軟體為C6DOOR,該樣本中嵌入了簡體中文字符,暗示攻擊者可能精通中文。
部署的惡意軟體家族
TOSHIS(2024年12月首次檢測)
- 功能:載入程序,從外部伺服器獲取下一階段載荷
- 關聯:Xiangoop變種,與Tropic Trooper組織有關
- 載荷:Cobalt Strike或Mythic框架的Merlin代理
DESFY(2025年5月首次檢測)
- 類型:間諜軟體
- 功能:收集桌面和Program Files目錄中的文件名稱
GTELAM(2025年5月首次檢測)
- 類型:間諜軟體
- 功能:收集特定副檔名文件(PDF、DOC、DOCX、XLS、XLSX、PPT、PPTX)
- 外洩管道:Google Drive
此外,部署的惡意軟體家族中也有
C6DOOR,它是一款客製化的Go語言後門程式,使用HTTP和WebSocket通訊協定進行命令控制。其功能包括收集系統資訊、執行任意命令、進行文件操作、上傳下載文件、擷取螢幕截圖、列舉執行中程序、枚舉目錄結構,以及向目標程序注入shellcode等多項功能。
輔助攻擊手段
攻擊者還採用了釣魚網站進行TOSHIS分發,主要透過兩種方式進行。第一種是建立偽造登入頁面,模擬免費優惠券或PDF閱讀器等誘餌,誘導用戶授權OAuth存取權限。第二種則是建立偽造雲端儲存頁面,模仿騰訊雲StreamLink的介面,誘導用戶下載含有TOSHIS的惡意ZIP檔案。
趨勢科技指出,TAOTH活動與先前記錄的ITOCHU威脅活動在基礎設施和工具使用重疊,顯示這是一個專注於偵察、間諜活動和電郵濫用的持續性威脅組織。
攻擊者目前仍處於偵察階段,主要識別高價值目標,因此在大多數受害系統中未觀察到進一步的滲透後活動。
防護建議
在防護措施方面,組織應定期稽核環境中的終止支援軟體並及時移除或替換,同時建立完整的軟體資產清單和生命週期管理機制,並加強對異常網路活動的監控。對於一般用戶而言,應仔細檢查雲端應用程式請求的權限後再授權,僅從官方或可信來源下載軟體,並使用有官方支援的軟體版本。在技術檢測層面,建議監控與已知惡意域名的通訊、檢測異常的自動更新行為,以及關注OAuth授權異常活動。
此次TAOTH攻擊活動展現了攻擊者如何巧妙利用廢棄軟體的更新機制進行供應鏈攻擊。台灣是此次攻擊主要受害地區,相關組織和用戶應提高警覺,加強對終止支援軟體的管理,並建立完善的威脅檢測機制。
本文轉載自thehackernews。