2026年2月,一家韩国头部电子制造商的网络里,入侵者静静驻留了整整一周。他们没有触发警报,没有大规模加密文件,只是定期截图、窃取凭证、向外传输数据。这是伊朗关联黑客组织MuddyWater(又称Seedworm、Static Kitten)的最新手笔,而他们的目标清单上,还有中东国际机场、亚洲工业制造商和政府机构。
赛门铁克威胁猎人团队近日披露了这场跨国网络间谍行动的详情。攻击者采用的技术并不新奇——DLL侧加载、PowerShell脚本、公共文件分享服务——但组合方式显示出明显的"运营成熟度"转变。他们不再依赖持续的人工操作,而是通过植入程序自主运行,把攻击节奏伪装成正常后台进程。
攻击韩国企业的窗口期是2月20日至27日。第一阶段是典型的侦察动作:扫描主机和域名信息,通过WMI枚举杀毒软件,捕获屏幕截图,再下载更多恶意载荷。 credential窃取手段包括伪造Windows弹窗、注册表蜂巢转储(SAM/SECURITY/SYSTEM),以及Kerberos票据滥用工具。为了维持长期访问,攻击者修改注册表、设置90秒间隔的心跳通信,并反复重启侧加载程序。
技术细节上,Seedworm此次大量滥用了两个合法签名程序:Fortemedia的音频工具fmapp.exe,以及SentinelOne的组件sentinelmemoryscanner.exe。它们被用来加载恶意DLL(fmapp.dll和sentinelagentcore.dll),这些DLL内含ChromElevator——一款现成的后渗透工具,专门窃取Chrome系浏览器的数据。PowerShell的角色依然关键,但控制方式有变化:载荷不再直接执行,而是通过Node.js加载器中转,用于截图、侦察、获取额外载荷、建立持久化、窃取凭证和创建SOCKS5隧道。
数据外传环节的选择同样耐人寻味。攻击者使用了sendit.sh,一个公开的文件分享服务。这种设计的意图很明显:让恶意流量混在正常用户行为中,降低被检测的概率。赛门铁克研究人员指出,这种"地理扩张、运营成熟度提升,以及对合法工具和服务的滥用",标志着该组织正转向更隐蔽的攻击模式。
动机层面,赛门铁克判断这是一场情报驱动的行动,核心目标包括工业和知识产权窃取、政府间谍活动,以及获取下游客户或企业网络的访问权限。韩国电子制造商的供应链地位,使其成为理想的跳板——攻破一家,可能辐射数十家合作伙伴。
值得警惕的是攻击者的时间管理能力。七天潜伏期被切分为明确的阶段:侦察→渗透→持久化→外传,每个环节都控制在不触发高级威胁检测的阈值内。这种"慢速低噪"风格,与勒索软件团伙的"快进快出"形成鲜明对比,也更难防御。
企业侧的对照检查清单由此清晰:DLL侧加载监控、WMI调用审计、90秒级心跳流量的异常检测、公共文件分享服务的出站流量审查,以及浏览器凭证加密存储的强制策略。但更深层的挑战在于,当攻击者开始像正常IT运维一样使用合法工具时,边界防御的效力正在衰减。
Seedworm的活跃时间已超过十年,从中东政府机构到亚洲制造业,其目标图谱持续扩展。此次行动的特殊性不在于技术突破,而在于运营逻辑的进化——把"隐身"本身作为核心能力来建设。对于拥有复杂供应链的电子制造业而言,这意味着安全评估的半径必须从自身网络延伸到每一个可接触的合作伙伴。
热门跟贴