首页 / 资讯 / 行业动态 / 境外APT团伙NexusTAG182活跃,MarkiRAT远控木马窃取企业涉密资料

境外APT团伙NexusTAG182活跃,MarkiRAT远控木马窃取企业涉密资料

时间:2026-07-08 15:25:30 来源:51DNS.COM
分享:

2026年7月,威胁情报厂商RecordedFuture发布高危APT预警,境外间谍组织NexusTAG182正在实施大范围持续性窃密攻击,核心武器为自研MarkiRAT远控木马,政府外事机构、科研院所、外贸跨境企业、高端制造出海分支均成为重点目标。

该团伙具备国家级情报收集背景,不以勒索牟利,核心诉求是窃取商业机密、科研数据、涉外合作涉密文件。行动风格隐蔽持久,入侵终端后潜伏数月不触发系统故障,大幅降低暴露概率。其专属工具MarkiRAT不在地下黑产流通,传统杀毒特征库难以识别,搭配钓鱼邮件、企业IM社工、RTLO文件名欺骗等手段,入侵成功率极高。

窃取资料

一、MarkiRAT木马核心能力:全维度窃密+多重规避检测

MarkiRAT专为Windows终端打造,适配Win10/Win11全版本,集成持久驻留、隐蔽窃密、加密通信、反检测全套能力:

1、多途径持久化驻留

通过注册表Run项、开机启动文件夹、篡改通讯软件快捷方式、滥用BITS后台传输服务实现开机自启,木马后台静默更新载荷、外发文件,流量伪装成系统同步行为。

2、全方位情报窃取模块
智能键盘记录、剪贴板监控、定时截屏、全盘检索PDF/图纸/合同文件,批量导出浏览器Cookie与账号凭证,枚举内网资产为横向渗透铺路。

3、加密隐蔽C2通信
采用标准HTTPS心跳传输,窃取数据分段Base64加密,配备多组备用恶意域名,内网代理环境下仍可外联攻击者服务器。

4、成熟对抗检测机制
利用RTLO翻转制造虚假文档后缀、多层代码混淆、进程注入至浏览器/资源管理器,内置沙箱检测自动休眠,入侵后清理系统日志消除痕迹。

 

二、完整攻击链路:Office宏钓鱼为主要入侵入口

整套攻击分为四大阶段,社工钓鱼是突破口:

1、诱饵投递:发送标注涉外合同、海外会议、科研课题的钓鱼邮件,企业微信、钉钉传播恶意压缩包,诱导用户打开带宏DOCM文件;

2、载荷释放:用户启用宏后,调用curl、bitsadmin等系统工具静默下载MarkiRAT本体,全程无弹窗报错;

3、终端驻留:木马写入持久化配置,注入可信进程,建立加密远程控制通道;

4、情报窃取与内网渗透:远程下发指令批量窃取文件,扫描内网共享盘、域账号,横向渗透数据库、财务服务器回传机密。

 

三、高风险企业自查清单,快速定位安全短板

涉外贸易、芯片研发机构、外事单位、能源出海企业、涉外律所需重点自查以下高危风险:
1、终端允许外部Office文档自动启用宏。
2、仅部署免费杀毒,缺少EDR行为检测能力。
3、内网无安全域隔离,办公终端直连核心业务服务器。
4、未定期审计注册表启动项、BITS异常同步任务。
5、终端无边界管控,可随意访问境外未知域名。

 

四、分层防御方案,构建APT全链路防护体系

1、员工安全管控,阻断钓鱼源头
全局禁用Office宏,外部文件统一沙箱检测;系统开启完整文件扩展名显示,警惕RTLO伪装文档;禁止即时通讯工具传输涉密业务资料。

2、终端安全加固,拦截木马驻留
部署具备进程注入、BITS任务监控的EDR;定期审计开机启动项、注册表可疑键值;监控PowerShell无文件下载行为,及时更新系统补丁。

3、网络边界防护,切断外联通道
防火墙同步TAG182恶意域名IOC;审计境外高频心跳上传流量;内网划分VLAN,留存完整网络日志便于溯源。

4、终端中毒应急处置流程
断开内外网不重启设备保留取证痕迹;清理木马驻留项,全量修改账号密码并开启二次验证;同网段扫描同源样本,留存流量与进程日志备查。

关键词:

在线咨询

联系我们