北京
一家阿塞拜疆油气公司在两个月内遭遇同一黑客组织的三次入侵,攻击者反复利用同一个未修复的微软Exchange漏洞,每次更换不同的后门程序。这起事件暴露出企业安全响应中的典型盲区——修而不补。
罗马尼亚安全公司Bitdefender发布的报告显示,攻击发生在2025年12月底至2026年2月底之间,目标是一家未具名的阿塞拜疆能源企业。攻击者被认定为与中国有关联的FamousSparrow组织(又称UAT-9244),该组织与Earth Estries、Salt Typhoon等团伙存在战术重叠。
攻击分为三个波次。第一波在2025年12月25日,部署了Deed RAT后门(又称Snappybee);第二波在2026年1月底至2月初,换成了TernDoor;第三波在2月底,又换回了经过修改的Deed RAT。Bitdefender评估认为,攻击者利用了ProxyNotShell漏洞链获取初始访问权限。
值得注意的是,尽管目标企业多次尝试修复,攻击者始终通过同一入口点反复渗透。Bitdefender在报告中指出:"入侵表明,攻击者会不断利用和重新利用同一访问路径,直到原始漏洞被修补、被盗凭证被轮换、攻击者返回能力被彻底切断为止。"
初始入侵后,攻击者尝试部署Web Shell以建立持久 foothold,最终通过一种进化的DLL侧加载技术部署Deed RAT。该技术利用合法的LogMeIn Hamachi二进制文件加载恶意DLL,进而执行主载荷。与标准DLL侧加载的简单文件替换不同,这种方法覆盖了恶意库中的两个特定导出函数,形成两阶段触发机制,通过宿主应用程序的自然控制流来管控Deed RAT加载器的执行。
攻击者还进行了横向移动,以扩大在失陷网络内的访问范围,并建立冗余 foothold,确保即使活动被发现和清除也能恢复访问。第二波攻击发生在初始入侵近一个月后,攻击者尝试通过Mofu Loader(一种此前归因于中国的Shellcode加载器)以DLL侧加载方式投放TernDoor,但未成功。
Deed RAT是ShadowPad的继任者,被多个与中国有关联的间谍组织使用。TernDoor则是2024年以来在南美电信基础设施攻击中新发现的恶意软件。Bitdefender指出,此次攻击将FamousSparrow的已知受害者范围扩展到了阿塞拜疆——在俄罗斯2024年终止乌克兰天然气过境协议、以及2026年霍尔木兹海峡中断事件后,该国在欧洲能源安全中的角色显著上升。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
