網路安全研究人員發現,疑似與中國有關聯的網路間諜組織「銀狐」(Silver Fox)正利用熱門AI服務DeepSeek作為誘餌,針對台灣用戶發動網路攻擊。攻擊者建立虛假的中文網站,偽裝成DeepSeek R1大型語言模型的安裝程式,誘騙受害者下載並安裝含有惡意軟體的檔案。
偽造DeepSeek程式安裝頁面
攻擊手法與技術細節
根據雲端安全廠商Netskope威脅實驗室主任Ray Canzanese表示,此次攻擊採用「DLL側載」(DLL Sideloading)技術,將Sainbox RAT惡意軟體植入受害者系統。Sainbox RAT是知名開源rootkit工具Gh0stRAT的變種版本,可讓攻擊者完全控制受害者電腦。
攻擊者不僅偽造DeepSeek安裝程式,還製作了搜狗搜尋引擎、WPS Office辦公軟體套件等熱門中文軟體的虛假安裝檔。這些軟體在華語使用者群體中具有極高人氣,因此更容易誘使目標用戶上當。
銀狐組織主要專注於網路間諜活動,但偶爾也會進行以金錢為目標的網路犯罪行為。該組織慣用手法包括:
- 濫用易受攻擊的驅動程式:採用「自帶易受攻擊驅動程式」(BYOVD)攻擊手法提升系統權限
- DLL側載攻擊:利用Windows應用程式載入DLL的機制執行惡意程式碼
- 多變種惡意軟體:針對不同攻擊活動客製化Gh0stRAT變種版本
趨勢科技零時差漏洞計畫(ZDI)資深威脅研究員Peter Girnus指出,DLL側載攻擊在國家級駭客組織和網路犯罪集團中仍相當普遍,因為這種手法能夠透過受信任的應用程式執行惡意程式碼,有效繞過安全防護機制。
Gh0stRAT及其變種版本持續受到亞太地區網路間諜和網路犯罪組織青睞。一旦感染系統,攻擊者可以:
- 下載並執行其他惡意工具
- 竊取敏感資料
- 進行勒索軟體攻擊
- 建立長期監控機制
銀狐有時還會額外部署名為「Hidden」的rootkit工具,專門負責隱藏惡意載荷並保護攻擊工具免受安全軟體偵測。
根據研究資料顯示,銀狐已成功滲透醫療、政府和工業網路,安裝網路間諜工具進行資料竊取和長期監控。在醫療機構的攻擊中,患者資料和關鍵系統遭到入侵,其他攻擊的具體影響範圍尚未完全揭露。
防護建議
面對此類攻擊威脅,資安專家建議企業和個人用戶採取以下防護措施:
- 僅從可信來源下載軟體,避免透過搜尋引擎或第三方網站下載軟體
- 實施網路分段,隔離關鍵系統以降低攻擊影響
- 加強員工資安教育訓練,提高對釣魚攻擊和可疑活動的識別能力
- 建立行為監控機制,及時偵測異常活動
- 實施最小權限原則和零信任安全架構
- 定期監控威脅指標,提升攻擊偵測能力
此次攻擊凸顯了網路犯罪分子快速利用熱門技術和服務作為攻擊誘餌的能力。隨著AI技術日益普及,相關的網路安全威脅也隨之增加。用戶在享受新興技術便利的同時,更應提高資安意識,確保從官方或可信管道取得軟體和服務。
延伸閱讀:鎖定華語使用者!假Chrome下載網站散布ValleyRAT木馬程式
本文轉載自Darkreading。