2025-12-30
【精選威脅情資】用 AI 攻擊亞洲:UTA0388 新型態威脅分析
危害與影響
自 2025 年 6 月起,代號為 UTA0388 的惡意組織發動了一系列魚叉式網路釣魚攻擊,目標橫跨北美、歐洲,主要鎖定亞洲地區。此中國駭客組織利用先進的社交工程手法,包括捏造人物身分與機構,誘騙目標執行惡意程式。
一旦成功入侵目標系統,UTA0388 就能遠端存取受害者內部網路,從事間諜活動、竊取資料或導致營運中斷。他們鎖定亞洲地緣政治,特別是與台灣相關的議題,突顯其戰略意圖與國家利益一致。這些攻擊橫跨多國、使用多種語言,對全球政府、研究機構和民間公司造成不可忽略的衝擊。
分析師觀點
UTA0388 結合了精密的關係建立型釣魚、LLM 驅動的自動化攻擊,以及先進的惡意軟體部署,是一個持續演進中的攻擊團隊。雖然目前攻擊對象鎖定亞洲地區,全球組織都必須對此類針對性的社交工程攻擊保持警惕,因為一旦成功滲透,不僅網路會遭未經授權的攻擊者控制、資料外洩,甚至可能引發地緣政治衝突。
描述
UTA0388 攻擊手法隨時間演進,從傳統的魚叉式釣魚(寄送內含惡意連結的郵件)轉變成關係建立型釣魚 (rapport-building phishing)。這種釣魚方式會先透過無害的電子郵件來建立信任,等到受害者卸下心防後,才傳送惡意程式或軟體。藉此,攻擊者能盡量避免基礎設施提早曝光,並提高成功入侵的機率。除此之外,UTA0388 行動有個顯著特點:利用大型語言模型 (LLM) 來自動產製釣魚郵件和惡意軟體元件。釣魚訊息中充斥著語言邏輯不一、內容荒謬、假造細節等特徵,顯示這些是未經人工監督、 AI 生成的文本。龐大的攻擊量和快速的節奏,也進一步突顯這些攻擊行動是自動化運作。
UTA0388 根據受害者使用習慣,寄送高度客製化、多語言(如:英語、中文、日語、法語和德語)的電子郵件,冒充不存在機構的資深研究員或分析師(圖1)。這些郵件帶有雲端存檔連結,一旦開啟,便會植入名為 GOVERSHELL 的後門惡意軟體。GOVERSHELL 是這次攻擊採用的惡意軟體家族,演變快速、目前至少觀察到五種不同變體,每種變體都有不同的命令與控制 (C2) 通訊方式,以及更強的持續性和遠端命令執行能力。
圖1 釣魚信件寄件者的虛構身分
技術分析
為了有系統且透徹地了解事件如何從初期鎖定目標、部署惡意軟體到建立通訊的完整過程,本章將依循 MITRE ATT&CK 框架的戰術分類。技術細節包含:根本原因、UTA0388攻擊手法、GOVERSHELL 惡意軟體家族的特徵,以及UTA0388 如何利用 LLM 來輔助攻擊。
偵察(Reconnaissance)
UTA0388 首先大範圍蒐集情報,找出北美、亞洲和歐洲的潛在目標後,深入分析與擬定策略。攻擊者會多方蒐集公開的電子郵件地址,包括組織網站上的信箱、群組聯絡人、過時的員工信箱,甚至是範例格式、非實際使用中的電子郵件。無差別的大規模蒐集方式顯示,攻擊者採用了部分自動化、但對上下文感知能力有限的工具,與使用 LLM 或其他自動抓取工具的特性相符。攻擊者的偵察行動不僅止於單純收集資料,也有利於後續設計關係建立型釣魚的內容。
資源開發(Resource Development)
儘管關於資源開發的明確細節不多,但這次攻擊行動顯示 UTA0388 建立並使用了多種資源來支援行動。由UTA0388 註冊並控制的許多網域皆具有以下特徵:
- 名稱與台灣有關,例如moctw[.]info 和 twmoc[.]info
- 冒充大型組織或看似合法的服務,例如 cdn-apple[.]info、azure-app[.]store、doccloude[.]info、sliddeshare[.]online 和 windows-app[.]store
攻擊者還將釣魚內容和惡意軟體託管在各種雲端平台(Netlify、OneDrive、Sync),利用 ProtonMail、Outlook 和 Gmail 等廣受信賴的網路郵件供應商來寄送魚叉式釣魚郵件。他們精心管理這些基礎設施,將網域一律註冊在 Cloudflare 以規避追蹤和下架。
初始入侵(Initial Access)
UTA0388 主要的入侵途徑是魚叉式釣魚,攻擊目標會收到高度客製化的電子郵件,內容冒充來自虛構機構的資深研究員或分析師。郵件中附有連結,會將收件人導向雲端託管的檔案(ZIP 或 RAR 檔),這些檔案內含一個看似合法的執行檔,並隱藏一個會利用搜尋順序劫持 (search order hijacking) 來執行惡意程式碼的 DLL(圖2)。
惡意軟體或勒索程式傳遞方式通常很直接:他們利用社交工程誘騙使用者點擊連結、下載存檔並執行那個看似無害的執行檔,使用者常在不知不覺中觸發了惡意的 DLL。在關係建立型釣魚的變體中,攻擊者則會先與目標多次往返電子郵件,然後才寄送惡意連結,藉此提高感染成功率。
圖2 釣魚信件截圖附件中的 PDF 檔案實際上是一張連結到https://aesthetic-donut-1af43s2.netlify[.]app/file/rar 的圖片
執行(Execution)
執行的關鍵在於一種稱為「搜尋順序劫持」的手法:傳遞的檔案中包含一個合法的執行檔,其名稱通常會模仿重要的組織文件或與目標相關的主題(例如亞洲地緣政治議題)。當使用者執行這個檔案時,Windows 的 DLL 搜尋順序會優先載入位於隱藏 lib 目錄的惡意 DLL,而非該執行檔原應使用的合法 DLL。此劫持手法可在目標系統上執行 GOVERSHELL 後門惡意軟體,讓攻擊者得以執行遠端命令。在執行搜尋順序劫持時,惡意軟體變體常利用合法的開源軟體執行檔(如 Tablacus Explorer),以提高隱匿性。
持續性(Persistence)
GOVERSHELL 後門植入程式會建立排程任務,在系統啟動時或定期觸發,攻擊者藉此延長在受害者裝置上的駐留。此排程任務包含一個特定的參數,確保惡意軟體的命令與控制 (C2) 通訊邏輯在初始設定完成後才會啟動。這種設計也能規避沙盒環境的動態偵測,因為惡意軟體在首次執行時不會啟動 C2 通訊,而是會直接退出,隱藏原應被觀察到的惡意行為。
防禦規避(Defense Evasion)
UTA0388 採用了多種防禦規避手法:
- 搜尋順序劫持:將惡意軟體隱藏在合法執行檔的執行流程中,讓處理程序監控工具更難偵測。
- 使用合法雲端服務:在Netlify、OneDrive、Sync 等信譽良好的雲端平台上託管惡意軟體和釣魚內容,有助於將惡意流量混入受信任的網路活動中,藉此繞過特定的網路偵測機制。
- 利用排程任務駐留並延遲C2: 透過內建參數來延遲 C2 通訊,降低了遭沙盒或端點偵測系統提早發現的可能。
- 使用多個電子郵件供應商: 從各大網路郵件服務寄送魚叉式釣魚郵件,分散被偵測到的風險,也讓電子郵件過濾更具挑戰性。
命令與控制(Command and Control)
GOVERSHELL 的命令與控制基礎設施歷經多次變化,每種變體都引入了不同的通訊方式,目的是規避偵測並維持穩定的控制:
- 變體 1 (早期/HealthKick): 透過 465 埠,使用帶有雙重標頭的偽 TLS 和 XOR 編碼。
- 變體 2 (TE32):透過 443 埠,採用以 AES 加密的偽 TLS。
- 變體 3 (TE64):使用 HTTPS POST 請求,以 JSON 格式定期回報。
- 變體 4(WebSocket): 利用以 AES 加密的WebSocket 連線,並導入命令任務佇列模型。
- 變體 5(Beacon): 透過使用 Base64 編碼加密的HTTPS GET 請求傳送資料,並隨機調整連線時間間隔來躲避偵測。
起初 C2 通訊是直接連線 IP,但從 2025 年中開始,轉而使用註冊並隱藏在 Cloudflare 的網域名稱。另外,WebSocket 變體的 C2 伺服器會回應「Secure C2 Server is running」之類的訊息,顯示他們正積極監控與控制。
衝擊(Impact)
主要衝擊是攻擊者透過 GOVERSHELL 後門程式,在受害系統上建立了持續性的遠端存取。UTA0388 可以任意執行命令,進一步出於其地緣政治目標,從事間諜活動、竊取資料或入侵網路。他們持續開發並部署多種惡意軟體變體,顯示在目標環境中常駐與擴大據點的意圖。
其它技術觀察
- 使用 LLM 協助攻擊行為: 許多特徵都證實了 UTA0388 利用 LLM(特別是OpenAI 的 ChatGPT)來產製釣魚郵件內容,與協助開發惡意軟體。
- 多語言釣魚信件內容的前後矛盾、虛構的人物身分與組織、荒謬的內容,或附加了不相關的檔案,例如:疊加文字的色情圖片、佛教誦經的音檔,以及毫無意義的文字檔等,這些可能是自動化內容生成過程的殘留物。
- GOVERSHELL 網路堆疊 (network stack) 和程式碼庫的快速發展與多變性,也或許來自 AI 的輔助生成。
- GOVERSHELL 使用多種語言開發(初期為 C++、後來改用 Golang),開發過程也有別於人類的開發習慣,並非迭代改進、而是頻繁重寫,與 AI 自動生成的特性相符。
- 地緣政治鎖定與歸因: 開發者路徑與日誌中出現簡體中文、攻擊目標鎖定台灣及亞洲地緣政治議題,且 UTA0388 基礎設施與已知的親中駭客組織有關聯,都讓我們更確信這次攻擊的來源。
總結
UTA0388 攻擊手法不斷演進,他們利用 LLM 產製的內容發動魚叉式釣魚、部署精密的 GOVERSHELL 後門惡意軟體,並使用先進的持續駐留和 C2 技術,維持對目標網路的隱密存取。事件的根本原因在於社交工程:攻擊者寄送魚叉式釣魚郵件,內含惡意連結,一旦執行,便利用搜尋順序劫持來部署可持續駐留的後門。該惡意軟體家族的技術複雜度,加上 AI 驅動的釣魚內容,代表網路攻擊已經進入「人機協作」的新時代。
緩解措施
鑑於 UTA0388 攻擊行動的複雜性,企業組織必須實施多層次的防禦方法,以緩解這類針對性攻擊的相關風險。要保護敏感資訊並維護關鍵系統的完整性,就必須對安全防護保持積極且警惕的態度。
- 強化電子郵件安全
部署先進的電子郵件安全解決方案,偵測並攔截可疑連結和附件:
- 偵測混淆的 URL:部署能識別並攔截經過混淆或動態生成之 URL 的系統。
- 附件掃描:自動掃描附件,檢查已知的惡意軟體和可疑檔案。
- 網路監控與偵測
部署強大的網路監控工具,偵測並回應異常活動:
- 端點偵測與回應 (EDR):部署能監控並回應端點可疑活動的工具。
- 行為分析:採用能偵測使用者正常行為偏差的技術,這些偏差可能代表系統已遭入侵。
- 使用者意識與訓練
教育員工了解最新的釣魚手法,讓他們明白保持高度警覺的重要性:
- 定期訓練課程:定期舉辦訓練課程,教導如何識別釣魚企圖,以及回報可疑活動的重要性。
- 模擬釣魚演練:定期舉行模擬釣魚演練,測試員工的警覺性與應變能力。
- 安全政策:制定並嚴格執行安全政策,強制要求使用安全的通訊管道,避免點擊可疑連結。
- 事件應變計畫
制定並維護事件應變計畫,以便在發生安全漏洞時能迅速且有效地應對:
- 事件應變團隊: 建立一個專責的事件應變團隊,負責協調對安全事件的應處。
- 應變計畫: 針對不同類型的安全漏洞(包括資料外洩和勒索軟體攻擊)制定應變計畫。
- 多要素驗證 (MFA)
在電子郵件、應用程式、裝置等導入多要素驗證,為使用者帳戶增加額外的安全防護。
參考資料
入侵指標 (Indicator of Compromise, IoCs)
URL
IP/Domain
Value |
Description |
104.194.152.137 |
GOVERSHELL C2 IP Address |
104.194.152.152 |
GOVERSHELL C2 IP Address |
185.144.28.68 |
GOVERSHELL C2 IP Address |
31.192.234.22 |
GOVERSHELL C2 IP Address |
45.141.139.222 |
GOVERSHELL C2 IP Address |
74.119.193.175 |
GOVERSHELL C2 IP Address |
80.85.156.234 |
GOVERSHELL C2 IP Address |
80.85.154.48 |
GOVERSHELL C2 IP Address |
80.85.157.117 |
GOVERSHELL C2 IP Address |
82.118.16.173 |
GOVERSHELL C2 IP Address |
azure-app.store |
GOVERSHELL C2 Domain |
twmoc.info |
GOVERSHELL C2 Domain |
windows-app.store |
GOVERSHELL C2 Domain |
cdn-apple.info |
GOVERSHELL C2 Domain |
sliddeshare.online |
GOVERSHELL C2 Domain |
doccloude.info |
GOVERSHELL C2 Domain |
Files
Name |
SHA-256 |
SHA-1 |
MD5 |
GOVERSHELL Sample |
2ffe1e4f4df34e1aca3b8a8e93eee34bfc4b7876cedd1a0b6ca5d63d89a26301 |
n/a |
n/a |
GOVERSHELL Sample |
4c041c7c0d5216422d5d22164f83762be1e70f39fb8a791d758a816cdf3779a9 |
n/a |
n/a |
GOVERSHELL Sample |
53af82811514992241e232e5c04e5258e506f9bc2361b5a5b718b4e4b5690040 |
9b98dbde44053011289da9bd5886633ea0a7fb4a |
707554eba414de3e9a1b4cc68e4e119a |
GOVERSHELL Sample |
88782d26f05d82acd084861d6a4b9397d5738e951c722ec5afed8d0f6b07f95e |
n/a |
n/a |
GOVERSHELL Sample |
998e314a8babf6db11145687be18dc3b8652a3dd4b36c115778b7ca5f240aae4 |
n/a |
n/a |
GOVERSHELL Sample |
a5ee55a78d420dbba6dec0b87ffd7ad6252628fd4130ed4b1531ede960706d2d |
n/a |
n/a |
GOVERSHELL Sample |
ad5718f6810714bc6527cc86d71d34d8c556fe48706d18b5d14f0261eb27d942 |
n/a |
n/a |
GOVERSHELL Sample |
fbade9d8a040ed643b68e25e19cba9562d2bd3c51d38693fe4be72e01da39861 |
7351db2af3139c2b8eed820c9938060b18ba4a99 |
cf8d7017d025dd7ad65a946e33ed23d8 |
GOVERSHELL Sample |
7d7d75e4d524e32fc471ef2d36fd6f7972c05674a9f2bac909a07dfd3e19dd18 |
25b9003070b6424e5ce107898433f42c9b2ee771 |
48cf03b5879e97608646d393314f837c |
GOVERSHELL Sample |
0414217624404930137ec8f6a26aebd8a3605fe089dbfb9f5aaaa37a9e2bad2e |
9ad8bef8a5c4d3b948c725306eb24405b634506c |
4eed3a064f323745cd2035fc38d44792 |
GOVERSHELL Sample |
126c3d21a1dae94df2b7a7d0b2f0213eeeec3557c21717e02ffaed690c4b1dbd |
n/a |
n/a |