2026年5月底,一场针对日本酒店业的网络攻击让全球安全圈绷紧了神经。攻击者伪装成Booking.com的合作方,向日本地区的酒店发送钓鱼邮件,标题打着“重要:住客评价请求”的旗号。邮件内容被包装成紧急投诉或评价提醒,目的只有一个:诱导酒店员工点开附件。
一旦打开,恶意文件就会在后台悄悄运行,把电脑的远程控制权交到攻击者手里。Trend Micro的安全团队捕获了这波攻击,给这个恶意软件起了个名字:TONResolver。它本质上是一个远程访问木马,但让它真正“出圈”的,是它寻找控制服务器的方式。
传统的远程木马通常会把C2服务器的地址写死在代码里。安全人员一旦逆向分析出这个地址,就能封堵、关闭、溯源。但TONResolver完全不走这条路。攻击者把C2域名存在了The Open Network区块链的智能合约里,恶意软件运行时会通过tonapi.io的一个叫“get_domain”的方法,实时查询当前有效的服务器地址。
这个设计带来的操作空间相当大。Trend Micro的报告中提到,如果某台C2服务器被安全厂商发现并下线,攻击者只需要在TON智能合约里更新一下域名,所有已经被感染的机器就会自动重连到新的服务器上。恶意软件本身不需要任何改动,也不需要重新投放。交易历史记录证实,在整个攻击活动中,C2域名确实被多次切换过。
感染之后的动作也不止于“潜伏”。TONResolver一旦运行,会先收集受害者电脑的用户名、主机名、操作系统版本、CPU数量、内存大小和MAC地址。Trend Micro的遥测数据显示,日本是受影响最严重的地区。感染终端会维持一个持久的心跳循环,只要连接保持活跃,就能随时接收攻击者的下一条指令。
攻击者投放恶意软件的手法有两种。一种是批量钓鱼,用“重要:住客评价请求”这类标题广撒网。另一种更精细,安全人员称之为“对话式攻击”。攻击者通过Gmail先发一封看起来无害的咨询邮件,等酒店回复之后,再跟进一封带恶意链接的邮件。先建立信任,再递出有效载荷——这种套路通常跟高级持续性威胁团伙有关联。
后续的检测与响应分析还发现了凭据窃取的行为。TONResolver会盯着Chrome和Edge浏览器下手,目标是里面存储的密码、Cookie、浏览历史和自动填充数据。一旦这些信息被拖走,攻击者手里就不止一台受控电脑,而是一整套可以横向移动的凭据。
载荷本身是一个通过Node.js执行的JavaScript文件。Node.js是广泛使用的合法平台,这让恶意流量在环境里看起来不那么扎眼。代码还做了一层基于虚拟机的混淆处理,把逻辑转成一套自定义的虚拟指令集,静态分析很难直接看懂。所有通信数据都经过加密。从C2地址的灵活切换,到加载链的隐蔽设计,这波攻击在对抗检测上花了不小的心思。
热门跟贴