北京
2026年2月,一家韓國頭部電子制造商的網絡里,入侵者靜靜駐留了整整一周。他們沒有觸發警報,沒有大規模加密文件,只是定期截圖、竊取憑證、向外傳輸數據。這是伊朗關聯黑客組織MuddyWater(又稱Seedworm、Static Kitten)的最新手筆,而他們的目標清單上,還有中東國際機場、亞洲工業制造商和政府機構。
賽門鐵克威脅獵人團隊近日披露了這場跨國網絡間諜行動的詳情。攻擊者采用的技術并不新奇——DLL側加載、PowerShell腳本、公共文件分享服務——但組合方式顯示出明顯的"運營成熟度"轉變。他們不再依賴持續的人工操作,而是通過植入程序自主運行,把攻擊節奏偽裝成正常后臺進程。
攻擊韓國企業的窗口期是2月20日至27日。第一階段是典型的偵察動作:掃描主機和域名信息,通過WMI枚舉殺毒軟件,捕獲屏幕截圖,再下載更多惡意載荷。 credential竊取手段包括偽造Windows彈窗、注冊表蜂巢轉儲(SAM/SECURITY/SYSTEM),以及Kerberos票據濫用工具。為了維持長期訪問,攻擊者修改注冊表、設置90秒間隔的心跳通信,并反復重啟側加載程序。
技術細節上,Seedworm此次大量濫用了兩個合法簽名程序:Fortemedia的音頻工具fmapp.exe,以及SentinelOne的組件sentinelmemoryscanner.exe。它們被用來加載惡意DLL(fmapp.dll和sentinelagentcore.dll),這些DLL內含ChromElevator——一款現成的后滲透工具,專門竊取Chrome系瀏覽器的數據。PowerShell的角色依然關鍵,但控制方式有變化:載荷不再直接執行,而是通過Node.js加載器中轉,用于截圖、偵察、獲取額外載荷、建立持久化、竊取憑證和創建SOCKS5隧道。
數據外傳環節的選擇同樣耐人尋味。攻擊者使用了sendit.sh,一個公開的文件分享服務。這種設計的意圖很明顯:讓惡意流量混在正常用戶行為中,降低被檢測的概率。賽門鐵克研究人員指出,這種"地理擴張、運營成熟度提升,以及對合法工具和服務的濫用",標志著該組織正轉向更隱蔽的攻擊模式。
動機層面,賽門鐵克判斷這是一場情報驅動的行動,核心目標包括工業和知識產權竊取、政府間諜活動,以及獲取下游客戶或企業網絡的訪問權限。韓國電子制造商的供應鏈地位,使其成為理想的跳板——攻破一家,可能輻射數十家合作伙伴。
值得警惕的是攻擊者的時間管理能力。七天潛伏期被切分為明確的階段:偵察→滲透→持久化→外傳,每個環節都控制在不觸發高級威脅檢測的閾值內。這種"慢速低噪"風格,與勒索軟件團伙的"快進快出"形成鮮明對比,也更難防御。
企業側的對照檢查清單由此清晰:DLL側加載監控、WMI調用審計、90秒級心跳流量的異常檢測、公共文件分享服務的出站流量審查,以及瀏覽器憑證加密存儲的強制策略。但更深層的挑戰在于,當攻擊者開始像正常IT運維一樣使用合法工具時,邊界防御的效力正在衰減。
Seedworm的活躍時間已超過十年,從中東政府機構到亞洲制造業,其目標圖譜持續擴展。此次行動的特殊性不在于技術突破,而在于運營邏輯的進化——把"隱身"本身作為核心能力來建設。對于擁有復雜供應鏈的電子制造業而言,這意味著安全評估的半徑必須從自身網絡延伸到每一個可接觸的合作伙伴。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
