▲新型遠端木馬鎖定亞太企業攻擊。(圖/取自免費圖庫Pexels)
記者吳立言/綜合報導
網路安全公司 Darktrace 揭露,一場針對亞太地區的長期潛伏攻擊行動,正透過偽造蘋果與 Yahoo CDN 網域的方式散布新型遠端控制木馬(RAT)。攻擊者利用看似可信的基礎設施與合法 Windows 程式掩護惡意程式碼,企圖繞過企業資安防護機制。
Darktrace 表示,這波攻擊活動自 2025 年 9 月起便已出現,相關攻擊手法與駭客組織 Twill Typhoon 過往行動相似,但目前仍未完全確認兩者之間的直接關聯。研究人員指出,攻擊目標以企業與開發環境為主,一般蘋果使用者受影響程度有限。
偽造 CDN 網域 讓惡意流量看起來像正常服務
CDN(內容傳遞網路)原本是用來加速網站內容分發與提升穩定性的基礎設施,但攻擊者刻意建立帶有品牌色彩的假 CDN 網域,藉此降低使用者與安全系統戒心。 目前已觀察到的惡意網域包含:
*icloud-cdn.net
*yahoo-cdn.it.com
這些網址名稱模仿蘋果與 Yahoo 的 CDN 架構,讓惡意連線看起來像一般雲端服務流量。受害裝置會先下載合法執行檔,再額外載入設定檔與惡意 DLL,藉此避開傳統黑名單與防毒規則偵測。
利用 DLL 側載 躲進合法 Windows 程式
研究人員指出,攻擊者大量使用 DLL Side-loading(動態連結庫側載)技術,把木馬隱藏進合法 Windows 程序中執行。 遭濫用的程式包含 「Microsoft .NET 相關程序 、Visual Studio 元件、dfsvc.exe 以及 vshost.exe」。
另一條攻擊鏈則利用合法的搜狗輸入法程式與名為 browser_host.dll 的惡意 DLL,將惡意程式注入可信程序並劫持執行流程。 這類做法的特點,是利用原本就存在於系統中的合法應用程式作為掩護,讓惡意活動更難被察覺。
木馬具備加密通訊與長期潛伏能力
Darktrace 表示,這次使用的載荷疑似來自升級版 FDMTP 後門框架,功能相當完整。研究人員還發現執行期間的字串解密、多重備援執行方式,以及透過 /GetCluster 端點進行控制註冊等行為,顯示攻擊工具具備高度成熟度與長期滲透能力。 由於這類攻擊特別依賴供應鏈與開發環境中的合法工具,因此企業、IT 團隊與軟體開發者被視為主要高風險族群。 資安研究人員建議企業應:
*強化網路流量監控
*檢查異常 DLL 載入行為
*啟用多因素驗證(MFA)
*限制不必要的系統權限
* 加強供應鏈安全檢測
隨著攻擊者越來越常利用合法工具與品牌偽裝進行滲透,傳統只依賴黑名單或特徵碼的防護模式,也面臨更大挑戰。
