【安全资讯】TAG-22 APT使用Winnti组织的工具攻击尼泊尔、菲律宾、台湾

引言

研究人员追踪到了TAG-22威胁组织的攻击活动，该组织针对的目标是尼泊尔、菲律宾、台湾以及香港的电信、学术、研发和政府组织。在这次攻击活动中，该组织可能在初始访问操作中使用了受损的 GlassFish 服务器和 Cobalt Strike，然后使用专用C2基础设施切换到定制的 Winnti、ShadowPad 和 Spyder 后门进行长期访问。2021年6月，研究人员使用网络流量分析(NTA)数据确定了黑客团伙TAG-22针对台湾工业技术研究院（ITRI）、尼泊尔电信，以及菲律宾信息和通信技术部发起的攻击。

简况

通过分析已确定的 TAG-22 运营基础设施，研究人员确定了该组织可能用于在目标环境中获得初步立足点的几个 Cobalt Strike 样本。该组织还使用了自定义 Cobalt Strike 加载器，黑客似乎根据几个样本中存在的调试字符串调用了 Fishmaster。在初始访问操作中，该组织使用Fishmaster便携式可执行 (PE) 文件的双重扩展名，从而看起来像 Microsoft Office 或 PDF 文件。在执行之后，用户会看到一个诱饵文件。在其他情况下，该组织使用恶意宏下载Fishmaster加载程序。一个诱饵文件显示的是疑似台湾居民的简历。

结论

研究人员发现TAG-22组织与Winnti Group存在很多重叠。TAG-22组织使用共享的自定义后门，包括 ShadowPad 和 Winnti，同时还使用开源或攻击性安全工具，如 Cobalt Strike 和 Acunetix。TAG-22使用的基础设施曾被公开报道。研究人员初步判断TAG-22主要在亚洲运营。然而，除了这次活动之外，该组织在地域和行业上都有相对广泛的目标范围。这种更广泛的目标范围，以及对Winnti后门的使用，都是几个疑似MonPass承包商的典型特征，包括APT17和APT41。