1 微步情报局 台湾 APT组织资通电军 攻击活动披露 扫码关注 随享更多情报资讯 2024/09/26 Page 2 北京 微步在线科技有限公司 | www.threatbook.cn 台湾 APT组织资通电军攻击活动披露 TAG ：APT 台湾 资通电军 漏洞利用 Webshell Meterpreter 远控 数据分级 ：橙 日期 ：2024 -09-26 概述 2024 年9月， 国家安全局发文揭露长期对大陆进行网络攻击的 APT 组织 “匿名者 64”， 经分析后，微步确认该组织最早被微步于 23年发现。 该组织在攻击手法上与人们熟知的绿 斑APT 组织有所区别，但二者攻击目标有所重叠，而且同为中文繁体语言背景，高度疑似 台湾方向的 APT 组织。经长期跟踪分析，微步认定该组织背景为台湾资通电军，攻击目标 涉及大陆的政府、军工、航空航天、教育、能源等行业和机构。 台湾资通电军是台湾当局于 2017 年6月主导建立的“第四军种”， 2022 年改革为台 湾“国防部”直属机构，主要承担电子作战、信息作战、网络作战及军线维护管理等职能， 是台湾当局对大陆实施网络作战的主力。 资通电军的主要攻击手法如下： ⚫ 使用商业 VPS 、VPN 批量化 1 day 、N day 、弱口令攻击，向站点内植入冰蝎、蚁剑等 Webshell 。 ⚫ 利用 Webshell 样本植入 CobaltStrike 、Meterpreter 远控木马或 Jump Desktop 、向日 葵、AnyDesk 等商业远控工具， 并利用各类工具 （如浏览器账密窃取工具） 窃取当前主 机信息、文件。 事件分析 2023 年，微步在线发现了一个有别于绿斑 APT 组织但二者攻击目标存在重叠的中文 Page 3 北京 微步在线科技有限公司 | www.threatbook.cn 繁体 APT 组织。 由于该组织惯用批量化漏扫和常用远控工具进行攻击， 分析人员一度认为该组织为普通 黑灰产组织。 但随着研究不断深入， 分析人员发现该组织是一个抱有政治目的的 APT 组织。 该组织使用商业 VPS 、VPN 批量化 1 day 、N day 、弱口令攻击，向站点内植入冰蝎、蚁剑 等Webshell ，其漏洞攻击目标多为各类 OA、ERP 系统，攻击的主要目的在于窃取数据。 下图为某次攻击活动中整理归纳的该组织漏洞利用情况。 在漏洞利用成功并植入 Webshell 后，利用 Webshell 执行 Powershell 指令反弹 shell 或下载 CobaltStrike 、Meterpreter 远控木马。 创建隐藏用户， 植入 Jump Desktop 、AnyDesk 等商业远控工具， 亦是其维权的一种方式。 下图为捕获的带有繁体字体的 Powershell 脚本。 其后利用各类工具（如浏览器账密窃取工具）窃取当前主机信息、文件。 Page 4 北京 微步在线科技有限公司 | www.threatbook.cn 在日常狩猎过程中 ， 分析人员 发现了该组织开发于互联网的用于远控、 文件管理的服务 器。 该文件管理站点为后渗透攻击载荷下载站点， 攻击者且意外将其自研加壳工具及说明文 档上载至该路径中。 该使用教程 PPT 中，样本演示路径为“ D:\Project \2021 DDOS \給系工组備份 (32 位