TA584黑客團(tuán)伙利用Tsundere Bot與XWorm實(shí)施勒索軟件攻擊

代號(hào)為TA584的高活躍度初始訪問中間商（IAB）被發(fā)現(xiàn)正利用Tsundere Bot與XWorm遠(yuǎn)程訪問木馬獲取目標(biāo)網(wǎng)絡(luò)訪問權(quán)限，為后續(xù)勒索軟件攻擊創(chuàng)造條件。

自2020年以來，Proofpoint研究人員便持續(xù)追蹤TA584的活動(dòng)。他們指出，該威脅組織近期大幅擴(kuò)大攻擊規(guī)模，并構(gòu)建了一套可規(guī)避靜態(tài)檢測(cè)的持續(xù)性攻擊鏈。

Tsundere Bot惡意軟件于去年首次由卡巴斯基公開披露，研究人員將其歸屬至一個(gè)與123 Stealer竊密木馬相關(guān)聯(lián)的俄語系攻擊組織。盡管該惡意軟件最初的攻擊目的與傳播途徑尚不明確，但Proofpoint表示，其可用于信息收集、數(shù)據(jù)竊取、橫向移動(dòng)以及部署額外惡意載荷。

鑒于研究人員已觀測(cè)到TA584在攻擊中使用該惡意軟件，所以研究團(tuán)隊(duì)高度確信，遭受Tsundere Bot感染的主機(jī)極有可能成為后續(xù)勒索軟件攻擊的目標(biāo)。

2025年末，TA584的攻擊活動(dòng)總量較同年第一季度增長兩倍，攻擊范圍也從傳統(tǒng)的北美、英國及愛爾蘭地區(qū)，進(jìn)一步擴(kuò)展至德國、歐洲多國及澳大利亞。

TA584活動(dòng)的數(shù)量

該組織當(dāng)前主流攻擊鏈流程如下：首先利用數(shù)百個(gè)遭劫持的老舊郵箱賬戶，通過SendGrid與亞馬遜簡(jiǎn)易郵件服務(wù)（SES）發(fā)送釣魚郵件；郵件包含針對(duì)不同目標(biāo)的專屬鏈接，并設(shè)置地理圍欄與IP過濾機(jī)制，跳轉(zhuǎn)鏈路中通常會(huì)引入Keitaro等第三方流量分發(fā)系統(tǒng)（TDS）。

通過過濾機(jī)制的用戶會(huì)進(jìn)入人機(jī)驗(yàn)證（CAPTCHA）頁面，隨后跳轉(zhuǎn)至ClickFix頁面，頁面會(huì)誘導(dǎo)用戶在本地執(zhí)行一條PowerShell命令。

CAPTCHA (左) 和 ClickFix (右) 頁面

該命令會(huì)下載并執(zhí)行一段經(jīng)過混淆處理的腳本，將XWorm或Tsundere Bot加載至內(nèi)存中，同時(shí)將瀏覽器重定向至正常網(wǎng)站以掩蓋惡意行為。

PowerShell 腳本

Proofpoint表示，多年來TA584在攻擊中使用過大量惡意載荷，包括Ursnif、LDR4、WarmCookie、Xeno RAT、Cobalt Strike以及DCRAT，其中DCRAT在2025年的一起攻擊事件中仍被使用。

Tsundere Bot是一款具備后門與加載器功能的惡意軟件即服務(wù)（MaaS）平臺(tái)，運(yùn)行依賴Node.js環(huán)境，該環(huán)境會(huì)通過其命令與控制（C2）面板生成的安裝程序自動(dòng)部署到受害者設(shè)備中。

該惡意軟件采用改進(jìn)版EtherHiding技術(shù)，從以太坊區(qū)塊鏈中獲取C2服務(wù)器地址，安裝程序中同時(shí)內(nèi)置硬編碼備用地址，以防主地址失效。

惡意軟件通過WebSocket協(xié)議與C2服務(wù)器通信，并內(nèi)置系統(tǒng)區(qū)域檢測(cè)邏輯：若檢測(cè)到設(shè)備使用獨(dú)立國家聯(lián)合體（CIS）成員國語言（以俄語為主），則立即終止運(yùn)行。

此外，Tsundere Bot會(huì)收集系統(tǒng)信息以構(gòu)建受感染主機(jī)畫像，可執(zhí)行從C2服務(wù)器下發(fā)的任意JavaScript代碼，并支持將受感染主機(jī)作為SOCKS代理使用。該惡意軟件平臺(tái)還內(nèi)置交易市場(chǎng)，可直接進(jìn)行木馬程序的買賣交易。

參考及來源：https://www.bleepingcomputer.com/news/security/initial-access-hackers-switch-to-tsundere-bot-for-ransomware-attacks/