关键词
勒索软件
代号为 TA584 的高活跃度初始访问中间商近期被发现,正利用 Tsundere Bot 与 XWorm 远程访问木马获取目标网络访问权限,为后续勒索软件攻击创造条件。
自 2020 年以来,Proofpoint 研究人员便持续追踪 TA584 的活动。他们指出,该威胁组织近期大幅扩大攻击规模,并构建了一套可规避静态检测的持续性攻击链。
Tsundere Bot 恶意软件于去年首次由卡巴斯基公开披露,研究人员将其归属至一个与 123 Stealer 窃密木马相关联的俄语系攻击组织。尽管该恶意软件最初的攻击目的与传播途径尚不明确,但 Proofpoint 表示,其可用于信息收集、数据窃取、横向移动以及部署额外恶意载荷。
鉴于研究人员已观测到 TA584 在攻击中使用该恶意软件,所以研究团队高度确信,遭受 Tsundere Bot 感染的主机极有可能成为后续勒索软件攻击的目标。
2025 年末,TA584 的攻击活动总量较同年第一季度增长两倍,攻击范围也从传统的北美、英国及爱尔兰地区,进一步扩展至德国、欧洲多国及澳大利亚。
TA584 活动的数量
该组织当前主流攻击链流程如下:首先利用数百个遭劫持的老旧邮箱账户,通过 SendGrid 与亚马逊简易邮件服务(SES)发送钓鱼邮件;邮件包含针对不同目标的专属链接,并设置地理围栏与 IP 过滤机制,跳转链路中通常会引入 Keitaro 等第三方流量分发系统(TDS)。
通过过滤机制的用户会进入人机验证(CAPTCHA)页面,随后跳转至 ClickFix 页面,页面会诱导用户在本地执行一条 PowerShell 命令。
CAPTCHA ( 左 ) 和 ClickFix ( 右 ) 页面
该命令会下载并执行一段经过混淆处理的脚本,将 XWorm 或 Tsundere Bot 加载至内存中,同时将浏览器重定向至正常网站以掩盖恶意行为。
PowerShell 脚本
Proofpoint 表示,多年来 TA584 在攻击中使用过大量恶意载荷,包括 Ursnif、LDR4、WarmCookie、Xeno RAT、Cobalt Strike 以及 DCRAT,其中 DCRAT 在 2025 年的一起攻击事件中仍被使用。
Tsundere Bot 是一款具备后门与加载器功能的恶意软件即服务(MaaS)平台,运行依赖 Node.js 环境,该环境会通过其命令与控制(C2)面板生成的安装程序自动部署到受害者设备中。
该恶意软件采用改进版 EtherHiding 技术,从以太坊区块链中获取 C2 服务器地址,安装程序中同时内置硬编码备用地址,以防主地址失效。
恶意软件通过 WebSocket 协议与 C2 服务器通信,并内置系统区域检测逻辑:若检测到设备使用独立国家联合体(CIS)成员国语言(以俄语为主),则立即终止运行。
此外,Tsundere Bot 会收集系统信息以构建受感染主机画像,可执行从 C2 服务器下发的任意 JavaScript 代码,并支持将受感染主机作为 SOCKS 代理使用。该恶意软件平台还内置交易市场,可直接进行木马程序的买卖交易。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴