最新威胁情报报告显示,一个组织化程度极高的高级持续性威胁(APT)组织,正对台湾地区机构发起一系列复杂网络攻击,其攻击手段甚至将企业日常管理流程也变成了入侵工具。
“FortiGuard 实验室近期监测到多起针对台湾地区的定向钓鱼攻击,攻击主题高度贴合当地业务流程。” 研究人员表示。
此次攻击中出现了进化版 Winos 4.0(ValleyRat)恶意软件,攻击者借助动态轮换的云基础设施、内存驻留执行以及漏洞驱动程序入侵企业内网。
该攻击组织深知,紧迫感与官方权威性是最有效的社会工程学手段。为诱骗受害者运行攻击载荷,攻击者制作了极具本地化伪装度的诱饵文件。
“攻击者通过带毒附件或内嵌链接传播 Winos 4.0(ValleyRat) 及其后续恶意插件。”FortiGuard 实验室在报告中指出。
这些诱饵文件经过精心设计,高度模仿官方公文样式,例如税务稽查通知、报税软件安装包、云端电子发票下载等。
为进一步提升欺骗性,攻击者还会注册与官方主题高度相似的域名,强化税务、官方文件类诱饵的可信度。
由于这类基础设施变动频繁、生命周期极短,分析人员警告:仅依靠传统静态域名封禁已不足以作为主要防御手段。
受害者一旦中招,就会触发多阶段感染流程。在为期两个月的监测中,研究人员发现攻击者使用了一整套投递手法:
包括用于下载器的恶意 LNK 文件、利用正常可执行文件进行 DLL 侧加载以执行 Shellcode,以及借助
wsftprm.sys 驱动实施的 BYOVD(自带漏洞驱动)攻击。通过 BYOVD 攻击,黑客向目标系统投放合法签名但存在已知漏洞的驱动,绕过 Windows 内核防护,以最高系统权限执行恶意代码。
此外,攻击者的隐蔽性也在持续增强。
“该组织的技术演进十分明显,其后续插件已全面转向内存驻留执行,在本地磁盘几乎不留下实体痕迹。” 报告解释道。
尽管攻击者极力隐藏恶意行为,却在运营安全上犯下关键失误。
在 2025 年 8 月捕获的一段环境自检行为中,调查人员发现了重叠的基础设施与固定的开发机器标识。
这一疏漏让研究人员确认,该活动与活跃在亚洲地区的知名 APT 组织 ——银狐(Silver Fox)旗下一支专业子团队直接相关。
调查还曝光了其内部项目代号,如大馬專案。
FortiGuard 实验室表示,这种协同水平表明这是一次组织严密、工具成熟、规划清晰的定向攻击行动。
随着银狐子团队战术不断迭代,亚洲地区安全团队必须同步升级防御能力。
由于攻击者专门利用日常业务流程实施入侵,员工安全意识已成为第一道防线。
报告最后提醒:
“随着该攻击组织持续优化逃逸技术与基础设施,个人与机构必须保持高度警惕。对任何非可信来源的文档与链接都应严格甄别,严防被这类不断进化的威胁感染。”
发表评论
您还未登录,请先登录。
登录