2024年,某东南亚国家军方的终端安全工具突然报警:一台无人管理的设备上,PowerShell活动异常。调查人员顺着线索摸进去,发现这不是新入侵——攻击者早在2020年就埋了后门,像定时闹钟一样,每6小时醒来一次,向境外服务器报到。
这个代号CL-STA-1087的间谍行动,持续了至少4年未被察觉。
Palo Alto旗下Unit 42团队披露的细节显示,攻击者的目标清单极其精准:指挥控制系统(C4I)、域控制器、高管工作站。他们不追求数据量,只要"战略和作战情报"。换句话说,这是一场精心策划的"军事侦察",而非普通的数据盗窃。
休眠脚本:把躲避检测写成算法
攻击者的核心手法,是把"低调"编码进了工具本身。
被发现的PowerShell脚本设置了6小时固定间隔执行。这种设计直接针对自动化检测工具——后者通常监控流量峰值和异常频率,对"规律但稀疏"的活动几乎无感。攻击者把恶意行为拆成了无数个小片段,混在正常的系统噪音里。
PolySwarm分析师提取了主后门样本AppleChris,确认其动态获取命令控制服务器(C2)地址的方式:从Pastebin拉取配置,早期版本还用过Dropbox。这些公开云服务成了攻击者的"通讯录",既便宜又难追踪。
沉寂数月后,攻击者重新激活。他们利用Windows管理规范(WMI)和原生.NET命令横向移动,把恶意软件推送到域控制器、Web服务器、IT终端和高管系统。每一步都踩着UTC+8的上班时间——北京时区。
三层工具链:定制后门+改装窃密+系统级潜伏
Unit 42识别出攻击者的三件主力工具。
AppleChris和MemFun是两套定制后门,负责长期驻留和远程控制。GetPass则是Mimikatz的修改版——后者是安全圈知名的凭证窃取工具,攻击者显然不想重复造轮子,而是直接改装现成武器。
持久化机制更显老练。攻击者在system32目录下放置恶意DLL文件,通过劫持合法Windows服务完成注册。这种"寄生"方式让恶意代码获得了系统级信任,即使管理员例行检查,看到的也只是正常的系统组件。
基础设施同样留下痕迹。C2环境包含简体中文语言元素,部分服务器部署在中国境内云服务上。Unit 42的评估措辞谨慎:"中等置信度"指向中国背景的攻击者,未点名具体组织。
军事目标:不是偷数据,是画地图
攻击者的目标选择暴露了真实意图。
Command, Control, Communications, Computers, and Intelligence(C4I)系统是现代化军队的神经中枢。渗透这些节点,攻击者能获取部队部署、指挥结构、通信协议——比单纯的文件盗窃更具战略价值。
东南亚地区的地缘政治敏感度无需多言。多个国家与中国存在南海主权争议,军事通信和指挥系统的情报,直接影响区域力量评估。
这场行动的特殊之处在于时间跨度。4年潜伏意味着攻击者建立了完整的网络地形图:哪些系统关键、谁有高级权限、数据如何流动。这种"认知优势"比任何单一泄密都危险。
防御方的发现过程也值得关注。触发警报的是"非托管终端"——那些没纳入标准安全监控的边缘设备。这提示了一个老问题:再严密的防线,也可能被最薄弱的环节击穿。
攻击者重新激活后的横向移动速度,说明他们从未真正离开。数月的静默更像是"养号",等待时机扩大控制范围。
目前,受影响国家的军方尚未公开回应。Unit 42的报告发布于2024年3月,此时距离首次入侵已过去近4年。攻击者是否仍在其他未被发现的位置潜伏?
热门跟贴