江蘇
關鍵詞
木馬
網絡安全公司 Darktrace 昨日(5 月 14 日)發布博文,報道稱有黑客利用偽造的蘋果和雅虎 CDN 基礎設施,在亞太地區發動長期潛伏攻擊。
安全圈注:CDN(內容分發網絡)本意是把網站內容分發到不同節點,加快訪問速度并提升穩定性。攻擊者偽造帶有品牌色彩的 CDN 域名,就是想讓受害者和安全設備誤以為流量來自可信服務。
攻擊者通過 DLL 側載(DLL sideloading)技術,將模塊化遠程訪問木馬隱藏在合法 Windows 進程中,繞過傳統黑名單檢測。
這次攻擊具備很強的偽裝,攻擊者冒充大型科技品牌的 CDN(內容分發網絡)基礎設施,讓流量看起來像正常訪問。
已觀測到的域名包括 yahoo-cdn.it.com 和 icloud-cdn.net,受害系統會先下載合法可執行文件,再拉取對應配置文件與惡意 DLL,從而降低傳統攔截規則的命中率。
在執行階段,攻擊者大量濫用可信 Windows 程序與 DLL sideloading(動態鏈接庫側載)。研究人員提到,Microsoft .NET 和 Visual Studio 相關進程,如 dfsvc.exe、vshost.exe,都曾被用來掩護惡意代碼。
另一個入侵鏈里,合法的搜狗拼音程序配合名為 browser_host.dll 的惡意 DLL,把代碼注入可信進程并劫持執行流程。
載荷部分疑似由升級版 FDMTP 后門框架驅動,該木馬支持加密通信、插件加載、注冊表持久化、計劃任務、系統畫像采集,以及基于 DMTP 的命令與控制通道。
攻擊注冊行為曾通過 / GetCluster 端點完成。研究人員還看到運行時字符串解密、AES 加密載荷分發和多種回退執行方式,說明這是一套成熟度較高的長期潛伏方案。
該活動自 2025 年 9 月底出現,手法以 " 中等置信度 " 關聯至威脅集群 Twill Typhoon。普通蘋果用戶受直接影響較小,但企業和開發者需警惕供應鏈風險,加強網絡監控與多因素認證。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
