針對近期被揭露的 Operation Dragon Weave 網路間諜行動,其攻擊目標集中在台灣與捷克等地的政府、研究機構、科技及金融部門。這類攻擊的核心在於透過精密的感染鏈,將遠端控制工具植入目標主機,並利用合法雲端服務來規避資安偵測。對於開發者與維運工程師而言,理解其攻擊路徑與隱匿手段,能幫助我們在建構系統時更有效地思考防禦策略。
攻擊路徑與感染鏈分析
這次攻擊的起點是典型的社交工程手法,即發送含有 ZIP 壓縮檔的釣魚郵件。當受害者解壓縮後,攻擊者設計了兩條不同的路徑來觸發惡意程式碼:
第一條路徑利用 LNK 快捷方式。攻擊者將 LNK 檔案偽裝成 PDF 文件,當使用者點擊時,會觸發後台執行 PowerShell 腳本。該腳本會從一個看似普通的 DAT 數據檔案中提取出名為 RuntimeBroker_update.exe 的執行檔並運行。
第二條路徑則較為直接,受害者直接執行壓縮檔內的二進位檔案。這個檔案是用 Rust 語言編寫的 Dropper(下載器/投放器),其唯一目的就是將 RuntimeBroker_update.exe 部署到系統中。
值得注意的是,無論走哪條路徑,最終都會觸發 DLL Side-loading(DLL 側載)攻擊。這是一種利用 Windows 載入 DLL 檔案機制漏洞的技巧,攻擊者將惡意 DLL 命名為 UnityPlayer.dll 並放置在合法執行檔相同目錄下,使系統在啟動合法程式時,錯誤地載入並執行了惡意代碼。
隱匿技術與 C2 通訊機制
在成功側載後,系統會載入一個名為 RUSTCLOAK 的 Rust 語言 Loader。Rust 語言因其高效能且較新的特性,目前被許多威脅組織用來編寫惡意軟體,因為傳統的防毒軟體對 Rust 編譯出的二進位特徵分析較不成熟。RUSTCLOAK 在執行前會先進行反分析檢查,確認環境是否為 Sandbox(沙箱,一種用於分析惡意軟體的隔離虛擬環境),若偵測到是在分析環境中,它將不會執行後續動作。
最終部署的 Payload 是 AdaptixC2 的代理程式,代號為 AZUREVEIL。其最關鍵的特性在於 C2(Command and Control,指令與控制伺服器)的通訊方式。傳統的 C2 通常是受感染主機直接連線到攻擊者的伺服器,這很容易被防火牆或流量分析工具偵測到異常域名。
AZUREVEIL 採取了 Dead Drop(死信箱)模式,利用 Microsoft Azure Blob Storage 作為中繼站。攻擊者將指令上傳到 Azure 儲存空間,受感染主機則從該空間下載指令並回傳結果。由於 Azure 是全球數萬家企業使用的合法雲端服務,這種流量在企業網路中極其常見,極難被區分出是合法業務流量還是惡意指令通訊。
後滲透能力與影響
一旦 AZUREVEIL 成功建立連線,攻擊者便獲得了對端點的完整控制權。該工具支援 36 種指令,包括檔案操作、殼層命令執行(Shell Command Execution)、進程列舉與終止,以及 SOCKS Proxy(一種網路代理協議,允許攻擊者將受感染主機作為跳板,進一步滲透內網其他伺服器)。此外,它還支援在記憶體中直接執行 Beacon Object Files(BOFs),這意味著惡意操作不需要將檔案寫入硬碟,進而繞過許多基於檔案掃描的端點偵測工具(EDR)。
整體威脅趨勢
除了 Operation Dragon Weave,近期還有其他中國背景的威脅活動,例如利用 Go 語言開發的 TencShell 植入物,以及針對法國與南美洲的 SteppeDriver 行動。這些組織展現出高度的工具迭代能力,從 Python、Perl 轉向 Rust 與 Go 等現代語言,並大量利用合法雲端基礎設施來掩蓋行蹤。
這提醒我們,僅依賴黑名單或已知特徵碼的防禦已不足夠。工程師在設計系統時,應採取零信任架構,並對異常的雲端流量模式(例如非預期的 Azure 儲存空間大量存取)保持警覺。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。