2020年至今,至少5个东南亚国家的军事网络被同一伙攻击者持续渗透。安全公司Palo Alto的Unit 42团队最近披露的CL-STA-1087行动,让这桩长达4年的网络间谍案浮出水面——而攻击者至今仍在活动。
「这不是那种砸门抢数据的莽夫式攻击。」PolySwarm分析师在报告中写道。攻击者像图书馆里长期潜伏的管理员,只借书不还,从不弄出声响。
发现过程:一个PowerShell脚本的"失眠症"
整件事的暴露纯属意外。某东南亚军事网络的终端安全工具,标记了一段异常的PowerShell活动——发生在一台无人管理的终端设备上。调查人员起初以为这是新入侵,很快发现想错了:攻击者早已在内网扎根,只是他们的"闹钟"设得极其刁钻。
攻击脚本被设计成每6小时才执行一次动作。这种节奏专门针对自动化检测工具——后者通常监控流量峰值和异常频率,对"慢性子"脚本几乎无感。调查人员形容这就像「在图书馆里每隔几小时才翻一页书,监控摄像头根本捕捉不到规律」。
更棘手的是,这些脚本连接着多个命令控制(C2)服务器。即使某个节点被发现,攻击者仍有备用通道维持通信。
工具箱:三个自制后门与"上班打卡"规律
PolySwarm识别出的核心工具叫AppleChris,一款定制后门。它从Pastebin动态获取C2服务器地址,早期版本还用过Dropbox。这种设计让防御方难以通过封禁固定IP来切断通信——服务器地址随时可变,像不断更换的接头暗号。
攻击者另外两件工具同样"手作感"强烈:MemFun作为辅助后门,Getpass则是Mimikatz凭证窃取工具的修改版。三者组合覆盖了持久化控制、横向移动、权限提升的全链条需求。
Unit 42注意到一个细节:攻击者的操作时间高度规律,始终落在UTC+8时区的标准工作时段。这种"朝九晚五"的节奏,加上C2基础设施中出现的简体中文元素和中国云服务商,构成了指向中国关联攻击者的拼图——尽管尚无具体组织被正式命名。
横向移动:从边缘终端到指挥中枢
沉默数月后,攻击者开始第二阶段行动。他们利用Windows管理规范(WMI)和原生.NET命令,在内网横向扩散。目标清单读起来像军事IT架构的解剖图:域控制器、Web服务器、IT工作站、高管系统。
最值得关注的是他们对C4I系统的兴趣——指挥、控制、通信、计算机与情报系统的统称。这是现代军事行动的神经中枢。攻击者没有广撒网式抓取数据,而是精准定位这些高价值节点,显示出对军事组织架构的熟悉。
持久化手段同样老练。攻击者创建新的Windows服务,通过DLL劫持将恶意文件植入system32目录,再借合法服务注册表项完成加载。这些操作让后门成为系统"原生器官",常规扫描难以识别异常。
战略意图:偷数据还是"看底牌"?
与传统网络犯罪不同,CL-STA-1087的诉求不是数据量,而是数据质。攻击者收集的是战略情报和作战信息——部队部署、指挥链条、通信协议。这种"轻触式"间谍活动,比大规模数据窃取更难察觉,也更具长期价值。
东南亚地区的地缘政治敏感性,让这场渗透的指向性更加清晰。该区域多国与中国存在南海主权争议,军事通信和指挥系统的情报价值,远超普通政府或商业数据。
Unit 42的报告未披露具体受害国名单,但提到"多个东南亚军事组织"。考虑到该区域约10国拥有成规模国防网络,5年以上的持续渗透意味着攻击者建立了相当成熟的区域作业能力。
目前,AppleChris等工具的特征码已被加入主流安全产品库。但攻击者的基础设施和TTP(战术、技术与程序)仍在演变——他们最近一次被观测到活动,就在报告发布前的数月内。防御方的问题是:还有多少类似的"慢性子"脚本,正沉睡在未被监控的终端里,等待下一次闹钟响起?
热门跟贴