安全期刊20250714
发布时间:
2025-07-17
来源:
作者:
访问量:
疑似美西方APT组织NightEagle渗透中国高科技与军工机构
间谍软件Batavia攻击俄罗斯大型工业企业
太空能源系统或成为未来网络战攻击目标
勒索组织Hunters International解散,免费发布解密工具
6月份全球APT攻击活跃,网络威胁持续升级
勒索软件攻击激增47%,平均赎金超160万美元
黑客组织TAG-140部署DRAT V2木马渗透关键基础设施
新型XWorm木马利用多种脚本语言规避检测
Cynalytica推出工业网络防御平台CyRenLAB
疑似美西方APT组织NightEagle渗透中国高科技与军工机构
近日,奇安信科技的红雨滴(RedDrip)团队在马来西亚举办的国家网络防御与安全展(CYDES)上发布报告,披露了一个APT组织长期利用微软Exchange零日漏洞,窃取中国军工与高科技领域情报的间谍行动。该组织被命名为“夜鹰组织”(NightEagle Group),编号APT-Q-95,是此前从未公开曝光的攻击团体。
据介绍,NightEagle至少持续一年时间,通过未知漏洞对中国目标发起渗透攻击,成功获取关键邮箱数据,受害对象包括人工智能、芯片制造、量子计算等关键领域的企业与国防承包商。攻击的关键步骤在于该组织利用Exchange邮件服务器中未披露的安全漏洞,通过非法获取的machineKey实现了对邮件系统的控制,进而远程访问并读取组织内全部人员的邮件信息。
RedDrip团队最初是在一次异常DNS请求中发现该攻击的,目标域名为synologyupdates.com,看似群晖(Synology)的更新服务,实则是攻击者伪造的恶意域名。该域名背后运行的是攻击者自制的、基于开源工具Chisel的恶意软件。Chisel本是一个用于穿越防火墙、在两台计算机之间建立加密隧道的合法工具,但被NightEagle修改为恶意通信组件,并以计划任务方式在受害主机中驻留,建立连接到其命令控制(C2)服务器的隐蔽隧道。
通过这条隧道,攻击者在未被发现的情况下,从Exchange邮件服务器中窃取了关键的machineKey,该密钥用于加密认证信息、验证会话令牌等敏感通信,是邮件系统的“核心机密”。掌握machineKey后,攻击者得以伪造合法会话,控制服务器执行任意代码,最终可随意读取组织内部的邮件内容。
事件曝光后,RedDrip分析了攻击者的行为模式与作息规律,发现其活动时间严格对应于美国太平洋时间的9:00–18:00,进一步推测其源自北美西海岸。虽然未明确指向美国政府,但专家普遍认为该组织很可能与美国情报机构有关。
Bambenek咨询公司总裁John Bambenek指出,此类针对性极强、目标明确的情报获取行为与美国国家安全局(NSA)、美国网络司令部等单位的职能一致。美国情报体系普遍具备强大的网络进攻能力,且每个情报机构都在发展自己的攻击工具。
此外RedDrip报告也指出,当前国际网络空间叙事高度倾向于报道中国APT对西方的攻击,但中国自身也在面对来自西方国家、特别是美国的高级攻击。这种“单向曝光”的现象,并不代表实际攻击活动的真实分布。
尽管微软尚未对此Exchange零日漏洞做出回应,但RedDrip的发现引发了外界对大型软件企业在国家级网络攻防中角色的讨论。Bambenek指出,硅谷企业不太可能故意忽视安全漏洞或配合政府开展后门植入行为,因为一旦零日漏洞被使用,就可能被发现、逆向分析并被其他国家或黑客组织利用,从而损害企业声誉与产品信任度。
卡巴斯基近日披露,一种此前未被记录的新型间谍软件Batavia正通过钓鱼邮件攻击俄罗斯的大型工业企业。攻击活动自2024年7月起即被监测到,至2025年初愈加频繁,并在2月底达到攻击高峰。此次行动疑似以情报窃取为目的,针对性极强,表明其具备高度组织性和持续性。
Batavia攻击链的起点是一封伪装成合同相关内容的钓鱼邮件。邮件中包含一个看似附件的链接,诱导受害者点击。点击后会下载一个压缩档案,其中包含恶意的Visual Basic Encoded(.VBE)脚本文件。一旦执行,该脚本会首先收集宿主系统的基本信息,并将这些信息上传至攻击者的命令与控制服务器(C2)。
随后脚本从攻击者控制的网站oblast-ru\[.]com下载第二阶段的有效载荷:一个名为WebView\.exe的可执行程序。该程序基于Delphi语言开发,在表面上会显示一个伪造的合同文档以掩人耳目,而在后台则悄悄收集系统日志、用户文档及屏幕截图等敏感信息。
这些收集来的数据会被上传至另一个恶意服务器ru-exchange\[.]com。Batavia通过计算每个文件前40,000字节的哈希值来避免重复上传,显示出其在数据处理上的精细性和效率。
第三阶段载荷名为javav.exe,是一个使用C++编写的数据窃取工具。一旦被下载并执行,它会被设置为随操作系统启动自动运行。该组件进一步扩大数据收集范围,除了文本和文档外,还会搜集图像、演示文稿、电子邮件、压缩包、电子表格、TXT和RTF文件等多种格式的数据。
卡巴斯基研究人员还发现了可能存在的第四阶段组件windowsmsg.exe,但尚未能够获取其样本,具体功能仍不明确。尽管如此,从攻击链的完整性和数据搜集手段的系统性来看,Batavia具备完整的入侵、隐蔽、窃取、控制能力。
研究人员没有明确指出该攻击的幕后操作者或最终目的,但考虑到受害对象主要是俄罗斯的大型工业机构,以及Batavia高度针对性的功能设计,很可能与情报窃取或工业间谍活动有关。
2025年,Frazer-Nash咨询公司发布了一份题为《将太空太阳能发电作为关键国家基础设施进行安全保障》的报告,详细阐述了太空太阳能发电(SBSP)系统在技术、战略、安全等方面的重要性及潜在威胁,并呼吁各国及产业界尽早采取系统化的安全措施,将SBSP视为关键国家基础设施予以保护。
该报告指出,SBSP作为一种新兴的、变革性的能源技术,具备向国家电网持续、稳定供电的能力。其全天候、高密度的发电优势可能在未来深刻影响全球能源市场格局,被各国视为能源战略布局的重要组成部分。然而,正因为其战略价值,SBSP系统也将成为国家行为体、有组织犯罪集团、黑客组织以及内部人员等多种攻击者的重要目标,威胁贯穿其从研发、发射、运行到地面控制的全生命周期。
报告特别强调,SBSP系统的安全不仅取决于技术本身,更受公众认知与信任的影响。当前,公众对通过微波或激光“定向能量传输”的技术尚存误解甚至恐惧,这对SBSP的推进构成非技术性阻力。因此报告建议应加强科普、沟通与透明机制,建立社会层面的广泛信任基础。
安全层面,Frazer-Nash提出SBSP应采取系统性安全架构。这意味着从供应链、地面设施、网络传输再到轨道平台本体,所有环节都需纳入统一的安全框架。供应链安全防范零部件与软件被恶意植入或篡改。地面设施安全防止关键控制系统被远程操控、设备被盗或篡改,如控制站、通信中心、发射场等。网络基础设施安全强化加密通信、身份验证、抗干扰能力,防止遥控劫持。轨道资产安全应对远程未授权访问、微波定向控制干扰,甚至反卫星武器的物理攻击。
与传统地面能源设施相比,SBSP系统因其物理位置处于轨道,其本身具备一定的天然保护属性,例如对入侵者的物理接触门槛高,攻击代价大。此外,如果攻击造成大量太空碎片(即“Kessler综合征”),不仅攻击者自身也将受影响,这种“相互毁灭”的机制可在一定程度上对攻击行为产生威慑。
报告提出,SBSP的安全防御不仅需要工程技术支持,更需政策、外交和国际合作的加持。通过多边能源共享机制、国际协议、太空行为准则等制度安排,可有效降低地缘冲突中的系统被孤立或敌对国攻击的风险。此外安全规范应从设计初期即融入SBSP全流程,如采用IEC 62443工业安全标准、NIST网络安全框架、英国国家网络安全中心(NCSC)网络评估模型等。越早形成安全技术标准和合规机制,就越能减少系统漏洞暴露期。
报告还详细分析了未来10至20年SBSP面临的技术型威胁演变趋势。人工智能武器化,商用生成式AI已能生成Python脚本、Shellcode、逻辑攻击流程等,技术门槛大大降低。黑客几乎可借助AI构建定制攻击工具。随着恶意AI的发展,恶意行为体几乎必然会开发不受道德限制的AI,生成复杂攻击代码、规避检测机制。量子计算与加密威胁,未来量子技术可能破解现有加密体系,因此报告建议尽早部署“后量子加密算法”,提升系统未来防御力。离地攻击,攻击者利用系统原生命令与脚本活动(如PowerShell、bash),不借助外部载荷,令传统检测机制难以发现其踪迹。
此外报告特别指出,Pipedream等模块化恶意工具的出现,反映出攻击者正转向“按需定制化”攻击模式,能快速调整模块、兼容不同的操作技术(OT)设备。这对工业领域构成严重威胁,也预示SBSP未来将面临类似挑战。
Frazer-Nash在报告结尾提出了一系列关键安全建议:将网络安全理念深度融入工程设计;早期引入国际安全标准,如IEC 62443;开展全面风险评估,涵盖技术、供应链、社会舆论等;与监管机构早期合作,明确合规边界;多国联合开发与能源共享协议,增强系统战略纵深;加强公众参与和教育,缓解误解、提升认知;全面加固供应链防护机制;提前规划量子时代的加密技术转型路径;建设安全文化,通过培训、机制、防内鬼行为等方式管理内部威胁;部署持续威胁监测机制,应对不断演变的攻击模式。
勒索组织Hunters International解散,免费发布解密工具
2025年7月,臭名昭著的勒索软件即服务(RaaS)组织Hunters International正式宣布关闭其运营,并向所有受害者提供免费解密工具,以协助他们在无需支付赎金的情况下恢复数据。这一声明于该团伙的暗网泄密站点发布,并标志着其为期近两年的高强度勒索行动告一段落。
Hunters International在公告中表示,“经过慎重考虑,并结合近期的发展”,决定停止运营。尽管声明中未具体说明“近期的发展”为何,但外界普遍认为该决定与执法机关加大追查力度及勒索利润逐渐下滑有关。
早在2023年11月,该组织便表示正面临执法压力,预计将关闭运营。而情报机构Group-IB此前也曾披露,该组织已悄然进行品牌重塑,计划从“加密+勒索”转型为专注数据渗透和敲诈的新组织“World Leaks”。
Hunters International同时宣布已从其勒索门户网站中移除所有勒索条目,并为曾遭受其攻击的公司提供官方网站,以申请免费解密工具与数据恢复指导。此举被视为是该组织“善意”撤退的一部分。
Hunters International于2023年末崛起,被业内怀疑是臭名昭著的Hive勒索团伙的重塑版本。由于其恶意软件代码与Hive高度相似,该组织很快被安全研究人员锁定。其开发的勒索软件具备跨平台能力,支持Windows、Linux、FreeBSD、SunOS以及VMware ESXi等多个系统环境,并兼容x64、x86及ARM架构,显示出强大的技术能力。
在其近两年的活跃期内,Hunters International曾针对全球约300家组织发起攻击,目标横跨政府、医疗、制造、科技、能源等关键领域。其勒索金额从数十万美元到数百万美元不等,按受害组织规模而定。
被该组织声称攻击的知名目标包括:美国法警局、日本光学企业Hoya、塔塔科技、北美大型车行AutoCanada、美国海军承包商Austal USA、以及俄克拉荷马州最大医疗集团Integris Health。在2024年12月,Hunters International还攻击了美国Fred Hutch癌症中心,声称窃取了超过80万名癌症患者的敏感数据,并以此威胁索要赎金,引发舆论关注。
据Group-IB披露,Hunters International的新项目World Leaks不再使用勒索软件进行系统加密,而是开发了专门的数据窃取工具,对受害系统进行信息外泄并以此敲诈。这一转变显示出网络犯罪组织在面对执法压力与技术对抗时的战术演化,从传统的勒索逻辑走向“纯粹的数据勒索”模式,以提高攻击效率并规避加密特征带来的侦测风险。
此次Hunters International的正式关闭是全球执法机关与网络安全合作取得的重要成果之一,也突显了勒索软件组织的灵活性与不断演化的能力。
6月份全球APT攻击活跃,网络威胁持续升级
Intel 471发布最新情报显示,2025年6月全球高级持续性威胁(APT)组织活动显著增加,显示出当前网络安全形势正向更具破坏性和复杂性的方向发展。报告指出,多个国家支持的APT组织在全球范围内针对政府机构、关键基础设施和高价值目标展开了一系列间谍和破坏活动。
Silver Fox APT组织在6月重点针对中国台湾,采用鱼叉式钓鱼邮件投递远程访问木马(RAT)如Gh0stCringe和HoldingHands,对政府和科技领域的网络进行渗透,意图窃取知识产权和敏感数据。这类攻击方式显示出该组织在情报收集和长期控制上的深厚能力。
与此同时,已被打击的Black Basta组织残余力量以CACTUS和BlackSuit等新身份重新现身,攻击金融、保险和建筑行业。利用Microsoft Teams作为主要攻击平台,结合电邮轰炸、语音钓鱼等社交工程手段进行初始渗透,并在入侵后通过Rust编写的加载器和QDoor远程控制工具,实施隐蔽性极强的多阶段攻击。此类攻击展现出APT组织在规避检测和横向移动方面的技术进化。
APT28(Fancy Bear)则创新性地利用Signal即时通讯工具传播恶意链接,对乌克兰的政治、军事和政府目标进行攻击。这一战术首次由乌克兰CERT-UA在2024年3月披露,攻击者通过群组聊天分发恶意链接,引导用户下载并感染SlimAgent恶意程序,实现持久化访问和数据窃取。这一手法突显出APT组织在社交平台武器化方面的新趋势。
此外Intel 471报告还提到,Fog勒索软件在5月攻击一家亚洲金融机构,攻击者潜伏两周后才加密目标系统。在此期间,使用Syteca、GC2、Adaptix和Stowaway等代理工具维持隐蔽性。更令人震惊的是,攻击者在勒索信中提出,只要受害者愿意协助传播勒索软件,可获得免费解密工具。这一“自传播式勒索”策略被专家认为可能加剧勒索病毒的蔓延风险。
乌克兰近期还遭到名为PathWiper的破坏性恶意软件攻击。Talos情报团队确认,该工具通过鱼叉式钓鱼邮件向关键基础设施运营商投放,内置时间触发器与反恢复机制,可彻底擦除系统数据而非寻求赎金。其命令控制功能还能实时上报破坏进展,意在制造系统瘫痪,突显其战略破坏目的。
伊朗APT组织(包括APT33、APT34和APT39)也被Intel 471重点提及。这些组织在北美、欧洲和中东地区针对能源、政府和关键基础设施展开密集攻击。手法包括凭证收集、注册表篡改、利用本地工具实现持久化、部署勒索软件与数据擦除工具,以及加密通道的数据外传。这些攻击不仅造成系统破坏,也严重威胁工业控制系统(ICS)和国家机密安全。
APT组织在持续进化攻击手段,利用合法通信平台如Teams和Signal作为新型攻击媒介,同时将社交工程与隐蔽技术相结合,增强其长期渗透能力。面对这些复杂威胁,Intel 471呼吁各组织提升通信平台可视性、及时修补已知漏洞,并加大威胁狩猎和行为分析投入,以主动应对不断演化的APT攻击。
美国联邦调查局(FBI)于2025年4月发布的《互联网犯罪报告》显示,2023年间美国因网络犯罪损失达166亿美元。其中欺诈案件为主导类型,而勒索软件依旧是最主要威胁,尤其针对关键基础设施。报告指出,60岁以上人群受害最为严重,既是经济损失最高的群体,也是投诉最多的群体。这一趋势反映出网络犯罪在经济与社会层面的持续渗透。
2025年上半年,全球勒索软件攻击呈现爆发式增长。根据网络安全研究机构Comparitech最新发布的数据,今年前六个月共记录3,627起勒索软件攻击事件,相较于2024年同期的2,472起增长了47%。被攻击的组织数量同比增长50%,其中技术行业成为重灾区,攻击增长率高达88%;紧随其后的是零售业(85%)、法律行业(71%)、交通运输(66%)和制造业(64%)。唯一呈现下降趋势的行业是公用事业,同比下降了31%。
Comparitech数据研究主管Rebecca Moody指出,这些攻击中,只有445起得到了被攻击组织的确认,其余均由勒索组织在其数据泄漏站点上自行披露,受害方尚未正式承认。这种“暗伤”现象说明了实际受害规模可能更大。
在445起已确认事件中,260起发生在企业组织,93起影响政府机构,52起针对医疗机构,40起波及教育系统。其中,教育机构数据泄露总量超过1,700万条,尽管低于去年同期的2.796亿条,但由于许多攻击是在数月后才被披露,因此2025年最终泄露数据量预计将大幅上升。
从行业细分角度来看,政府实体遭攻击数量同比上升近60%,学校、大学等教育单位的攻击增长23%;医疗行业则相对稳定,仅增长5%。
勒索金额也水涨船高。据Moody透露,今年上半年勒索软件攻击的平均赎金索要金额超过160万美元。一些攻击事件的赎金需求更是高达千万美元级别。
勒索软件团伙方面,最活跃的包括Akira(347起)、Clop(333起)、Qilin(318起)、RansomHub(222起)、Play(214起)和SafePay(186起)。若仅看已确认的攻击事件,Qilin以40起居首,RansomHub以27起位列第二,Akira第三(25起),SafePay与INC各19起并列第四。
这些团伙的攻击目标也各具特色。例如,Akira和SafePay主要瞄准企业,其中Akira的24起攻击中大多数涉及企业目标,而SafePay的11起也集中于商业领域。相较之下,INC的策略更偏向医疗和政府部门,仅有4起攻击企业,却成功攻击8家医疗单位和7个政府机构。Qilin和RansomHub则采取“混合型”战术,分别攻击了企业、政府和医疗目标。今年上半年还出现了多个尚未被公开认领但影响极大的攻击事件,可能存在私下支付赎金的情况。
在美国,医疗技术公司Episource在1月报告遭遇大规模攻击,波及540多万人。其客户Sharp HealthCare和Sharp Community Medical Group也在事后发布了数据泄露通报。在日本,2月Hoken Minaoshi Honpo集团被攻击,导致510万条数据泄露;而三丽鸥旗下的Sanrio Entertainment(以Puroland主题乐园闻名)则在1月确认至少200万条记录被泄露。
此外日本Newton Financial Consulting在2月被攻击,影响130万条记录;美国Frederick Health在1月确认近100万名病患数据被泄露。
其他受害组织还包括:日本宇都宫中央诊所(30万条记录)、加拿大Nova Scotia Power(28万条记录)、爱尔兰Ocuco Limited(24.1万名美国居民信息)、美国Marlboro-Chesterfield Pathology(23.6万条记录)和Central Texas Pediatric Orthopedics(14万条记录)。这些事件大多集中在2025年初,凸显了攻击对医疗、能源、金融等关键行业的持续威胁。
在赎金金额方面,一些针对政府机构的勒索事件尤为显眼。斯洛伐克国家地理与测绘局在1月遭遇攻击,攻击者索要1,200万美元,最终未支付;马来西亚机场控股公司(运营吉隆坡国际机场)在3月被Qilin攻击,对方声称窃取2TB数据并索要1,000万美元;匈牙利国家考古研究所(隶属国家博物馆)在2月遭RansomHub攻击,赎金要求为1,000万美元,数据量为180GB;肯尼亚国家社会保障基金(NSSF)于5月被Devman勒索,索要4.5百万美元,数据量高达2.5TB;美国克利夫兰市法院在2月遭Qilin攻击,系统瘫痪数周,索要400万美元但未付款。
其他高额赎金案例包括:美国俄勒冈州环保署2.6百万美元;菲律宾GMA新闻与公共事务2.5百万美元;德国Welthungerhilfe2.15百万美元;英国HCRG Care Group 2百万美元;意大利比萨市政府:2百万美元。
Moody特别指出,不同勒索组织在攻击目标的选择上有明显策略差异。INC更偏向医疗和政府目标,Akira与SafePay则聚焦企业客户,Qilin与RansomHub采取多线并进的策略,表明勒索软件生态正在变得更加复杂和精细化。
此外Comparitech早在2025年1月就曾指出,2024年全年勒索软件组织共声称成功攻击5,461个全球组织,其中仅1,204起得到了官方确认,其余多数尚未被受害方证实。这一现象说明大量数据泄露事件仍处于“地下水位”,未被广泛认知。
2025年上半年全球勒索软件威胁呈现出规模更大、目标更广、勒索金额更高、攻击者战术更多元的趋势。在确认和未确认的攻击之间存在巨大数据鸿沟,也使得安全形势更加不透明。针对政府、医疗、教育和企业的定向攻击不断增加,表明勒索团伙已不再“撒网捕鱼”,而是实施有策略的、高价值目标打击。
黑客组织TAG-140部署DRAT V2木马渗透关键基础设施
近期,网络安全研究机构Recorded Future的Insikt Group披露,一个名为TAG-140的黑客组织,正在使用改良版远程访问木马DRAT,针对印度政府机构发动网络攻击。TAG-140被认为是与SideCopy重叠的攻击组织,SideCopy是Transparent Tribe(又称APT36、APT-C-56等)下的一个作战子集,具有明显的巴基斯坦背景。
此次攻击活动的最大特征,是攻击者仿冒印度国防部官方网站的新闻发布门户,利用伪造页面诱导用户点击恶意链接,引发感染链条。ClickFix式攻击流程主要包括以下几个步骤:用户点击假冒网站中的活跃链接;系统剪贴板被自动复制恶意命令;用户被引导手动在命令行中粘贴并执行该命令;下载并通过mshta.exe执行HTML Application(HTA)文件;启动一个名为BroaderAspect的加载器,该加载器会下载诱饵PDF文档、通过修改注册表建立持久化机制、下载并启动名为DRAT V2的新型木马。
DRAT V2是对旧版DRAT的技术演进,其新增的功能包括支持任意Shell命令执行、使用Base64加密C2服务器IP地址、更新通信协议以支持ASCII与Unicode命令输入(尽管服务器仍仅支持ASCII输出)。与旧版相比,DRAT V2减少了字符串混淆,优先保证命令解析的稳定性,但其反分析能力仍然较弱,容易被静态或行为分析检测到。
DRAT V2主要用于对受害系统进行持续控制,支持自动化和交互式后渗透操作,如系统侦察、数据收集、文件下载、进一步载荷部署和敏感数据外泄。Insikt Group指出,DRAT V2更像是TAG-140模块化工具库中的一环,而非一次重大技术飞跃。这也印证了该组织通过轮换使用多种RAT工具来躲避检测并保持作战灵活性的战略。
自2025年5月印巴关系紧张以来,APT36的攻击活动大幅增强,主要目标集中在印度的国防、政府、医疗、教育、电信等多个行业。APT36通过钓鱼邮件传播Ares RAT,利用伪装成国家信息中心(NIC)采购订单的PDF文件,引导受害者点击其中的按钮,下载带有双扩展名(如.pdf.exe)的可执行文件。该文件具备反调试、反虚拟机功能,并在内存中加载下一阶段的恶意模块。
这些模块能够记录键盘输入、监控剪贴板、窃取浏览器凭据、列举文件信息,并与远程C2服务器通信,实现完全远程控制。此外,APT36还首次针对BOSS Linux(印度政府广泛使用的操作系统)发起攻击,使用恶意ELF文件配合以网络安全通告为诱饵的钓鱼信息,进一步表明其跨平台能力正在增强。
360威胁情报中心发现,APT36还在使用Golang编写的新型DISGOMOJI恶意软件,通过压缩包发送给受害者。该变种由ELF可执行文件构成,能在Linux系统上运行。与旧版本不同,此次DISGOMOJI不再使用Discord作为C2服务器,而是转向Google Cloud,显示出其隐匿通信方式的升级。
DISGOMOJI具备下载浏览器窃密插件与远程控制工具的功能,可在受害者系统中实现数据窃取与远程操控。虽然其核心功能没有本质变化,但通信机制与加载流程的演进反映出攻击者持续优化其工具链。
另一个名为Confucius的网络间谍组织也在近期活动频繁。该组织被认为服务于印度国家利益,自2013年起活跃于南亚与东亚地区,主要攻击政府、军事机构。
最新调查显示,Confucius使用名为Anondoor的模块化后门和信息窃取工具WooperStealer发动攻击。攻击链条以Windows快捷方式(LNK)文件为入口,通过DLL侧加载技术释放Anondoor后门。后门上线后收集系统信息,并从远程服务器下载WooperStealer。
Anondoor具备强大的远程命令执行能力,可执行系统命令、截屏、下载文件、提取Chrome浏览器密码,并列出文件系统结构。其C#编写的DLL组件通过特定方法调用,成功绕过沙箱检测。Confucius已从过去单一木马演进为模块化架构,说明其在技术方面具有较强的迭代能力。
TAG-140、APT36和Confucius等APT组织正不断更新其工具集与攻击手法,体现出国家支持背景下的长期性、隐蔽性与模块化趋势。尤其是APT36,其针对Windows与Linux双平台的攻击手段日益成熟,在多个关键领域构成实质性威胁。随着攻击工具更广泛地实现自动化、模块化和跨平台能力,针对政府与关键基础设施的网络间谍活动将更加难以防范,因此需构建更具深度的检测与响应体系。
XWorm是近年来在全球网络威胁格局中迅速崛起的一种远程访问木马(RAT),以其高度灵活性、强大功能和持续演进的规避机制,成为网络犯罪分子武器库中的核心工具之一,不仅具备传统RAT的远程控制能力,还融合了键盘记录、远程桌面访问、数据窃取、命令执行等功能,形成了一个集信息窃取与系统操控于一体的高级攻击平台。
与常规恶意软件依赖固定感染链不同,XWorm展示出极强的动态适应能力,可根据防御环境轮换使用多种文件格式与脚本语言进行传播,包括PowerShell脚本、VBS文件、.NET可执行文件、JavaScript、批处理脚本以及Office宏等,大幅增加了检测与拦截的难度。这种“变形”特性使它能够有效绕过终端防护软件和沙箱分析系统。
近期XWorm的攻击活动集中于软件供应链及游戏行业,攻击者常将其与AsyncRAT联合部署,用于初始渗透和持久控制。Splunk的安全研究人员指出,这类攻击往往以部署勒索软件告终,攻击者使用泄露的LockBit Black构建器工具,这将XWorm与勒索软件生态链相连。
在攻击投递策略方面,分析超千份XWorm样本显示,攻击邮件普遍伪装成与发票、收据或快递有关的通知,以营造紧急和业务相关的氛围,引导用户点击并感染。
技术上,XWorm具备多种规避安全检测的机制,尤其擅长绕过Windows关键安全功能。其核心之一是对AMSI(Antimalware Scan Interface)的绕过,通过内存操作修补amsi.dll中的AmsiScanBuffer()函数,使安全软件无法在脚本执行前检测恶意内容。
XWorm还可禁用Windows事件跟踪(ETW),通过修补EtwEventWrite()函数阻止系统日志记录,从而“致盲”安全监控工具。这种系统级规避手段表明XWorm具备完整的内存操作与API钩取能力,可精准避开静态与动态分析。
为确保持久化感染,XWorm利用注册表启动项和计划任务机制,引导VBS脚本或批处理程序从%appdata%目录持续执行。同时,它采用进程注入技术,将恶意代码注入如Taskmgr、explorer、svchost等合法Windows进程中,以提升隐蔽性。
这种通过系统调用操控、内存注入、API钩取和多重持久化方式构建的全链路攻击流程,代表了RAT技术的最新演化方向,对传统防护体系提出了更高要求。XWorm的强大之处不仅在于其功能多样性,更在于它对操作系统底层机制的精确掌控能力,是当前安全防御领域最值得警惕的高危木马之一。
Cynalytica推出工业网络防御平台CyRenLAB
工业网络安全企业Cynalytica推出全新平台CyRenLAB,旨在为工业控制系统(ICS)和运营技术(OT)提供深度可视化、监控与分析能力。该平台不仅是安全监测工具,更是一个集研究、验证与实战培训于一体的实验环境,帮助关键基础设施运营者提升网络韧性,应对日益复杂的网络与AI驱动威胁。
在地缘政治持续紧张、人工智能攻击手段快速演化的背景下,全球关键基础设施面临前所未有的风险。网络攻击目标已从传统IT系统延伸至物理层工业系统,而AI技术的加入更令攻击变得更加智能、难以预测。尤其在工业网络中,传统协议如模拟信号、串口通信等,往往游离于现代网络安全工具的监测范围之外,形成“盲区”。
Cynalytica的CEO Richard Robinson指出,工业安全已从过去“物理隔离”的简单防护,转向面对国家级与AI自适应型威胁的全面对抗。CyRenLAB正是在这种新形势下推出的解决方案,能够捕获和分析整个工业通信协议栈,包括模拟、串行和以太网,在统一平台上提供前所未有的可视能力。
CyRenLAB提供一个高仿真环境,允许运营团队与安全人员在“0风险”条件下模拟工业流程、执行网络-物理攻击演练、识别异常通信行为,并制定防御与响应策略。平台支持人员培训、攻防演练、威胁研究和新技术验证,极大提升了企业对复杂攻击链条的理解与应对能力。
目前CyRenLAB已通过Cynalytica与普华永道中东分部的合作在海湾地区落地,用于培训能源与工业基础设施运营者。该区域因其能源产业集中度高,成为全球战略性重点区域。CyRenLAB的部署帮助本地企业在复杂环境下构建主动防御体系。本月Cynalytica正式将该平台扩展至东欧,支持该地区在现代化工业进程中构建面向未来的网络安全能力。
PwC中东区数字合伙人Clinton Firth表示,CyRenLAB是一种具有战略意义的网络安全赋能平台,通过可操作、可验证的实战训练,帮助企业应对不断升级的网络威胁,对保障国家关键基础设施连续运行具有重要价值。
CyRenLAB的四大核心优势包括:全链路可视化能力,支持对所有ICS/OT通信流量的实时捕获与分析,涵盖模拟信号、串口协议等传统工具无法检测的流量类型;真实攻击场景仿真,可模拟工业生产流程和真实网络攻击,帮助组织评估现有防御体系并优化安全策略;实践导向培训机制,提供从攻击识别到应急响应全过程演练,增强人员对高级威胁的识别和处置能力;支持威胁研究与创新,为AI威胁场景测试、新型攻击手法分析和安全产品研发提供实验基础。
随着工业系统日益数字化与互联化,ICS/OT环境中的可视性缺失已不容忽视。CyRenLAB正是为弥补这一盲区而生,赋能关键服务行业在面对更智能、更快、更隐蔽的威胁时具备前瞻性防御能力。
Robinson总结表示,“对工业操作的全面可视化不再是可选项,而是保障国家安全与经济稳定的基础。CyRenLAB旨在为运营者提供前瞻性的知识与实用工具,助其在威胁爆发前就采取行动。”
上一条:
下一条:
相关信息
