台湾“绿斑”攻击组织使用开源远控木马的一组钓鱼攻击分析

摘要：2024年下半年，安天应急响应中心跟踪到“绿斑”组织[1]针对我国特定行业目标的APT攻击活动。攻击者向目标单位的官方账号发鱼叉式钓鱼邮件，引导目标点击链接访问伪装成某单位的恶意网站，该网站主动跳转下载，诱导受害者保存并执行伪装成PDF图标的下载器程序，下载器

2024年下半年，安天应急响应中心跟踪到“绿斑”组织[1]针对我国特定行业目标的APT攻击活动。攻击者向目标单位的官方账号发鱼叉式钓鱼邮件，引导目标点击链接访问伪装成某单位的恶意网站，该网站主动跳转下载，诱导受害者保存并执行伪装成PDF图标的下载器程序，下载器负责获取和解密伪装成视频后缀的恶意载荷在内存中运行。截止目前观察到的恶意载荷主要是Sliver远控木马[2]等开源的命令与控制框架，攻击者以此对目标开展长期的主机控制、网络横向移动和窃密活动。安天CERT根据攻击事件关注目标领域、钓鱼流程的技术特点，结合历史分析数据信息和开源情报，综合判断攻击活动的来源为中国台湾省当局“绿斑”攻击组织。2018年9月，安天曾经发布过该组织的网络攻击活动报告“‘绿斑’行动——持续多年的攻击”，揭露了该组织从2007年开始的攻击活动。

基于安天已经协助相关行业管理部门对相关事件进行了有效通报处置，安天决定公布对攻击事件分析成果。基于安天去年下半年已经协助相关行业管理部门完成相关事件进行了有效通报处置，安天CERT决定正式公布本报告。相关攻击活动的特点如下表：

表1‑1 绿斑攻击活动特征

2.1 恶意网站分析

攻击者通过邮件诱导目标访问恶意网站，网站伪装成某管理局的政府信息公开网页：

图2‑1 恶意网页案例

网页加载完毕后自动跳转，开始下载诱饵下载器文件：

图2‑2 恶意网页跳转下载代码案例

2.2 诱饵下载器分析

诱饵下载器是图标伪装成PDF文档的C#程序，部分样例对时间戳进行篡改，文件名以领导关于党纪事件发言、个人身份证件信息等主题诱导目标点击执行，以拓线样本为例：

图2‑3 诱饵下载器案例

表2‑1 诱饵下载器样本标签

下载器的代码内容被混淆处理，解混淆前后样本Main函数对比如下图：

图2‑4 解混淆前后的主函数代码

主函数首先调用smethod_2方法从链接“https://128.199.***.***/mp4/mov.mp4”下载伪装成视频文件的加密载荷数据。

图2‑5 下载伪装成视频文件的加密载荷

然后调用smethod_0函数使用 AES 算法解密下载得到的mov.mp4字节数组。解密使用到的Key:“LgUmeMnmUpRrCCRA”，IV:“nStxRW4o6TNHcKBm”。其中Key必须与加密时使用的密钥完全一致，才能正确解密数据。IV是一个随机或伪随机的值，用于确保相同的明文在每次加密时生成不同的密文。

图2‑6 解密载荷数据

调用smethod_1方法，使用GZipStream 解压缩AES 算法解密得到的字节数组。

图2‑7 解压缩载荷数据

调用smethod_3方法，使用多个委托和非托管代码来处理smethod_1方法解压缩得到的字节数组，以此最终解密得到载荷，并将其执行。

图2‑8 处理解压缩得到的载荷数据

2.3 开源远控载荷分析

伪装成MP4视频文件后缀名的载荷数据内容被完全加密，经过上述解密解压缩流程后得到的载荷具有反调试功能，基于初始入口、主要功能等多个代码位置的对比同源，以及C2控制上线通讯流量中Client Hello数据包的JA3指纹（19e29534fd49dd27d09234e639c4057e），可以发现载荷是由知名的开源红队命令与控制框架项目Sliver生成的。

图2‑9 Client Hello数据包的JA3指纹与Sliver远控特征一致

根据开源代码项目介绍[2]，Sliver是一个类似于CobaltStrike的开源红队命令与控制模拟框架，可跨Windows、Linux和MAC系统平台，支持基于Mutual TLS (mTLS)、WireGuard、HTTP(S) 和 DNS等多种网络协议通讯方式，具备类似CobaltStrike和Metasploit等工具的大多数后渗透阶段功能。

表2‑2 Sliver远控框架特性

3.威胁框架视角的攻击映射

本次系列攻击活动共涉及ATT&CK框架中10个阶段的25个技术点，具体行为描述如下表：

表3‑1 本次绿斑组织攻击活动的技术行为描述表

将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示：

图3‑1 本次绿斑攻击活动对应ATT&CK映射图4.小结

基于上述的分析，安天CERT研判这是来自中国台湾省当局背景的“绿斑”APT组织的攻击活动。该组织在2018年被安天正式命名并曝光，并被央视焦点访谈[3]报道。攻击者对特定行业的目标，构建有较强社工欺骗性的素材，进行鱼叉式钓鱼攻击，载荷经过多重伪装加密，最终实现开源远控框架的木马植入，攻击手法，具有明显的针对性。

应对相关攻击需要构建好终端安全基石加强防护，可以依托邮件安全、网络流量监测、终端防护、XDR联动分析、网关封堵的构成防御层次，特别是使用带有有效杀毒和主防能力与较强反钓鱼功能的终端安全防护软件。基于其攻击的社工特点和不停“随处吐口香糖”式的攻击粘性，提高安全意识也是防范的重要环节。

附录一：参考资料

[1]安天.“绿斑”行动——持续多年的攻击[R/OL].(2018-09-19)
https://www.antiy.cn/research/notice&report/research_report/20180919.html

[2]BishopFox/sliver[R/OL].(2019-06)

https://github.com/BishopFox/sliver
[3]《焦点访谈》20181007 信息安全：防内鬼防黑客[R/OL].(2018-10-07)

[4]关键基础设施安全应急响应中心.针对绿斑组织近期APT攻击活动的分析报告[R/OL].(2020-08-12)

附录二：IoCs