一封看似正规的政府通知邮件,附件里躺着个ZIP压缩包,解压后电脑就被无声接管——这就是安全厂商Seqrite Labs最新揭露的“龙织行动”(Operation Dragon Weave)。这波攻击盯上了捷克和台湾的政府、高校、研究机构、科技公司与金融从业者,用鱼叉邮件投递一个最终被称为AZUREVEIL的AdaptixC2远控代理,整套手法把云服务和DLL侧加载玩出了花。
压缩包里的伪装极具迷惑性。攻击者设置了两条感染路径,都指向同一个核心程序RuntimeBroker_update.exe。第一条路把恶意快捷方式图标伪装成PDF,双击后触发PowerShell脚本,从中间的DAT文件里把exe提取出来运行;第二条路更直接,受害者运行了一个用Rust编写的二进制启动器,它本身就是个能跳过沙箱的装载器,自解压并拉起了同一个exe。不论走哪条路,真正启动恶意负载的钥匙都是一枚叫UnityPlayer.dll的恶意动态库,通过经典的DLL侧加载手法,唤醒一个名为RUSTCLOAK的Rust装载器。装载器会先做反分析检查,确认不是在虚拟机或沙箱里就跑不动,确保后面的大招只对真实主机释放。
RUSTCLOAK解密出的主角,才是攻击者手里的万能遥控器——代号AZUREVEIL的AdaptixC2代理。它把远控通道藏在微软Azure Blob存储里,不用传统的服务器回连,而是玩起“死信箱”:攻击者把指令上传到固定的云存储容器,中招的机器再去同一个地方取回任务、放回窃取的数据,双方永远不直接通信。Azure上跑合法业务的企业成千上万,这种混杂方式让流量极难被排查。
AZUREVEIL支持的36条命令构成了一把几乎全能的刀:文件增删改查、上传下载、Shell命令执行、进程遍历与终止、端口转发、SOCKS代理控制、C2服务器管理,甚至能在内存中直接运行Beacon Object Files,相当于把后渗透的各种武器一股脑塞了进去,攻击者拿到的是被控终端的完整控制权。
这个行动虽然Seqrite未点名具体组织,但已将源头指向与中国有关联的已知威胁行为体。从目标选择的广度看,这不像是简单的情报收集,而是编织了一张覆盖政府、学术、科技和金融的长期监听网。至于是否会扩散到其他地区,以及有没有配套的横向移动工具,安全团队正在持续追踪。
热门跟贴