2020年至今,超过4年时间,一批军事组织的网络里住着不速之客。他们没偷走海量数据,也没搞破坏,只是安静地待着,偶尔翻翻看。
安全公司PolySwarm最近披露的行动代号CL-STA-1087,把这套"低存在感"间谍术的底裤扒了个干净。攻击者把PowerShell脚本设成每6小时才动一次——这个频率刚好卡在多数自动化监控工具的盲区里,像闹钟调成了人类注意力的死角。
被发现纯属意外:一个" unmanaged endpoint"(未受管终端)的警报
整个行动的暴露是个黑色幽默。调查人员最初只是看到某台边缘设备上的PowerShell活动异常,顺藤摸瓜才发现:这不是刚破门,是人家已经住了很久。
攻击者部署的延迟执行脚本早就连上了多个命令控制(C2)服务器。6小时间隔的设计堪称心机——自动化工具看的是流量峰值和频率异常,这种"脉冲式"心跳比正常业务还像正常业务。
Palo Alto旗下Unit 42的分析师在报告中打了个比方:这帮人不是在"入侵",是在"寄居"。他们的目标明确指向指挥、控制、通信、计算机与情报系统,也就是军方的C4I体系。翻译成人话:不是来偷文件的,是来偷"怎么打仗"的。
工具箱解剖:三个自制后门与一份"中国时区作息表"
技术拆解显示,攻击者用了三件核心工具。AppleChris是主后门,负责长期驻留;MemFun作为辅助后门;Getpass则是Mimikatz的改装版,专门搬运凭证。
AppleChris的C2地址获取方式相当复古——从Pastebin动态拉取,早期版本还用过Dropbox。这种设计让封锁域名变成打地鼠,封一个换一个,成本全转嫁给防御方。
更露马脚的是行为指纹。Unit 42发现攻击者的操作时间高度吻合UTC+8时区的工作时段,基础设施里嵌着中国云服务,C2环境里还能找到简体中文元素。没有组织被正式点名,但这些指标叠在一起,指向性已经相当明确。
持久化手段同样老练。攻击者在system32目录里玩DLL劫持,把恶意文件注册成正经Windows服务。这种"借壳上市"让恶意代码获得了系统级的信任背书,查杀工具扫过去,看到的只是又一个svchost。
横向移动的精准打击:从边缘设备到域控和 executive 系统
沉寂数月后,攻击者开始第二阶段。他们用Windows管理规范(WMI)和原生.NET命令横向扩散,目标清单读起来像军事IT部门的组织架构图:域控制器、Web服务器、IT工作站、高管系统。
这里的"executive systems"(高管系统)值得细品。不是随便哪台电脑,是决策层的工作终端。结合C4I系统的情报价值,攻击者的优先级排序很清晰——人比机器重要,决策层比普通员工重要,作战流程比单个文件重要。
这种"战略情报"导向,和常见的数据窃取型攻击形成对比。后者往往批量拖库、量大管饱;CL-STA-1087是精准点菜,每动一下都有明确目标。
Southeast Asia 的军网为何成了长期靶场
东南亚军事组织成为目标,地理和战略因素都有。该区域处于关键航道,多国军事合作频繁,且网络安全投入与攻击者的 sophistication( sophistication )存在落差。
更关键的是"长期驻留"这门手艺的价值。4年时间足够观察系统迭代、人员变动、甚至战略调整。攻击者不是在偷当下的数据,是在积累"如何理解这个组织"的上下文。
这种攻击模式的防御难点在于:传统指标——数据外泄量、异常流量峰值、勒索信——统统不触发警报。直到某个未受管终端的PowerShell行为异常,整个故事才浮出水面。
PolySwarm在报告中埋了一个细节:部分样本的编译时间戳显示,工具链的迭代持续到了2024年。这意味着行动可能仍在进化,而"6小时睡眠"只是被发现的版本。
下一个版本的间隔会是12小时,还是随机抖动?防御方的监控阈值该往哪调?这个问题,大概正是攻击者想看到的。
热门跟贴