去年12月,1inch的支持团队注意到一个怪现象:同一时间段内,多个新注册账户排着队来问同一个"交易问题",IP地址轮换得比赌场发牌还快。每个对话的结尾都附着一条短链——"这是我遇到的问题截图"。
ZeroShadow的分析师顺着这条线摸下去,发现这不是普通诈骗,而是APT-Q-27(又名GoldenEyeDog)的新把戏。这个从2022年起就专攻赌博和加密货币领域的团伙,换了一种更省事的打法:不再等用户自己撞上门,而是主动钻进客服队列,扮演求助者。
一条链接如何绕过三层防护
攻击的起点设计得极其日常。受害者收到的是形如Google图片托管的链接,文件名看着像张普通照片——IMG_20241215.jpg之类的格式。Windows默认隐藏扩展名的设置在这里成了帮凶:文件实际后缀是.pif,一种连多数技术人员都陌生的可执行格式。
双击后,屏幕弹出一个"网页无法加载"的错误页面,足够让客服专员以为是网络问题。与此同时,后台已经完成了三件事:建立持久化后门、向37个硬编码的命令控制服务器注册、把自身伪装成名为"Windows Eventn"的系统服务——注意那个拼写错误,故意模仿"Windows Event Log"的障眼法。
更隐蔽的是权限操作。恶意软件连续修改三处注册表键值,静默关闭用户账户控制(UAC)。整个过程没有任何弹窗提示,受害者直到被完全控制都不会察觉异常。
AWS S3成了攻击者的"应用商店"
初始载荷只是引子。执行后,它向一个AWS S3桶请求清单文件——一份可远程更新的URL列表,指向下一批组件。这种设计让攻击者能像更新App一样轮换基础设施,无需重新编译恶意软件。
下载包里的配置很有意思:一个来自YY平台、带有效数字签名的合法程序updat.exe,加上两个被篡改的系统运行时文件vcruntime140.dll和msvcp140.dll。Windows加载依赖项时优先搜索当前目录,这个机制被精准利用——签名干净的程序加载了攻击者的代码,安全软件很难察觉。
最终植入的恶意程序通过TCP 15628端口与C2服务器通信。ZeroShadow在追踪过程中发现,37个硬编码地址分布在多个云服务区域,部分域名注册信息指向东南亚。
为什么选客服而不是工程师
APT-Q-27的转向值得玩味。他们过去惯用的手法是投放木马化软件和水坑网站,属于"广撒网"模式。新策略则精准得多:客服人员的电脑通常直连内部工单系统,权限虽不及开发团队,但足以横向移动;更重要的是,他们的工作性质就是点外部链接——验证用户问题、查看报错截图,这是岗位职责的一部分。
1inch的安全团队向ZeroShadow反馈了一个细节:被标记的账户在对话中表现出高度一致性,话术经过设计,能自然引导客服点击链接而不触发警觉。这种"社会工程预制件"说明攻击者对Web3支持流程有深入研究。
GoldenEyeDog的历史活动轨迹也支持这一判断。Recorded Future等机构此前追踪显示,该团伙长期潜伏在赌博平台生态中,熟悉加密货币交易的话术和痛点。从"等鱼上钩"到"扮鱼咬钩",战术升级的背后是对目标行业运作方式的深度理解。
ZeroShadow将归因置信度定为"中等",主要依据是工具特征和基础设施重叠。该团伙在2022至2023年间多次被观察到使用类似的DLL侧加载技术和AWS托管的模块化载荷。
目前尚无公开信息表明哪些Web3平台在此次活动中遭受实际损失。但1inch的主动披露提供了一个可复用的检测模板:监控支持队列中的异常模式——短时间内多账户、多IP、同质化的"截图求助",可能是更复杂攻击的前奏。
当客服专员的习惯性点击成为攻击入口,企业安全团队需要重新评估:那些"只处理用户问题"的终端,是否也该纳入零信任架构的覆盖范围?
热门跟贴