一个活跃超过十年的黑客组织正在用一种隐蔽手段劫持Windows系统。他们修改系统核心文件,让攻击者和正常用户同时登录同一台电脑,安全团队几乎无法察觉。

这个名为Cloud Atlas的组织从2014年开始活动。过去一年,他们加大了对政府部门和外交机构的攻击力度,俄罗斯和白俄罗斯是重灾区。

打开网易新闻 查看精彩图片

卡巴斯基旗下Securelist的研究人员追踪到了这波新攻势。他们发现,该组织的工具库在2025年下半年到2026年初大幅扩充,攻击手法也更精细了。

入侵通常从一封钓鱼邮件开始。邮件里的ZIP压缩包藏着一个恶意快捷方式,用户一点开,就会静默执行从外部服务器拉取的PowerShell脚本。

这个脚本干四件事:建立持久化后门、下载伪装PDF分散注意力、清除感染痕迹、部署后续载荷。其中有两个关键工具——后门程序VBCloud,以及侦察工具PowerShower。

进入内网后,攻击者开始横向移动,然后执行最关键的一步:修改termsrv.dll文件。

这是Windows远程桌面服务的核心组件,默认只允许一个RDP会话。攻击者用一个叫rdp_new.ps1的PowerShell脚本直接对它"动手术":先添加防火墙规则放行RDP流量,放宽远程访问安全设置,然后夺取文件所有权,替换特定字节序列解除单会话限制。

服务重启后,攻击者就能和合法用户同时在线,互不干扰。由于目标是系统自带文件而非外来恶意程序,传统检测手段很难发现异常。

为防万一,攻击者还会搭建反向SSH隧道作为备用通道。即使主后门被清除,他们仍能重新连接受害机器。

整个攻击链条融合了Tor、SSH、RevSocks等现成工具与定制恶意软件,层层叠加只为一个目的——藏得越久越好。