银狐通过税务主题钓鱼部署ABCDoor恶意软件

执行摘要

与中国有关的网络犯罪团伙Silver Fox被观察到通过以税收为主题的网络钓鱼活动部署一种新的后门恶意软件，被称为ABCDoor，目标是印度和俄罗斯的组织。根据The Hacker News的一份报告，该团伙在2025年12月发送了模仿印度所得税部门的电子邮件，随后又针对俄罗斯实体发起了类似的攻击波。该恶意软件提供了对被入侵系统的持久远程访问，使得数据外泄和进一步的有效载荷交付成为可能。

技术分析

ABCDoor恶意软件以其使用高级加密标准（AES）进行命令和控制（C2）通信和自定义二进制协议而命名，作为一个全功能的后门运行。网络钓鱼电子邮件携带恶意附件或链接，当打开时，执行一个加载器，从远程服务器检索主ABCDoor有效载荷。恶意软件通过注册表运行密钥或计划任务建立持久性，然后通过加密通道使用HTTP或HTTPS与其C2基础设施通信。The Hacker News的报告指出，该活动采用了针对每个目标区域的社会工程学：印度受害者收到了提及税务申报的电子邮件，而俄罗斯目标收到了官方政府通知风格的通信。加载器和C2协议的技术细节在源材料中没有完全详细说明，但描述了恶意软件能够进行文件上传/下载、命令执行和键盘记录。

缓解措施与建议

印度和俄罗斯的组织，特别是政府和金融部门的组织，应该审查电子邮件安全控制，以阻止以税收为主题的网络钓鱼诱饵。防御者应该监控可疑的出站连接到未知IP地址，特别是那些使用加密HTTP流量到模仿政府实体的域名。实施能够标记注册表持久性变化和计划任务创建的端点检测和响应（EDR）解决方案可能有助于检测ABCDoor部署。鉴于针对性的社会工程学，建议进行针对税收相关网络钓鱼的用户意识培训。