中國駭客組織 APT41 近期部署一款全新後門程式,專門鎖定 Linux 雲端工作負載發動攻擊,目標涵蓋 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 與阿里雲等主流雲端平台。這波行動由資安情報公司 Breakglass Intelligence 揭露;其核心惡意程式在 VirusTotal 上的偵測數量為零,引發資安社群高度關注。
後門技術解析
此後門程式以雲端原生可執行與可鏈結格式(ELF)撰寫,為去除符號且靜態連結的 x86-64 執行檔,專為在 Linux 雲端實例上建立持久性存取而設計。
更值得注意的是其指揮控制(C2)的通訊手法。攻擊者選擇以 SMTP 通訊埠 25 作為隱蔽的 C2 頻道,而非使用常見的 HTTP 或 HTTPS 流量,目的在於讓惡意活動對 Shodan 與 Censys 等常規掃描工具「隱形」。研究人員指出,這是 APT41 至少六年投入雲端原生工具研發的成果,從早期的基本反向連線逐步演進為具備掃描器規避能力的雲端憑證竊取工具。
後門部署完成後,會立即探測 AWS 實例後設資料服務端點 169.254.169.254,以提取與主機雲端身分綁定的暫時性憑證。若目標環境的 IAM 權限設定過於寬鬆,攻擊者僅憑此一步驟便可能取得更大範圍的存取權限。除 AWS 外,此後門也會同步查詢 Azure、阿里雲與 GCP 的後設資料服務。
域名仿冒手法讓追蹤更加困難
此次行動的另一個技術亮點,是
針對性的網域仿冒手法。APT41 使用三個與阿里雲合法服務高度相似的仿冒網域,並混入中國資安品牌奇安信的名稱,讓惡意流量更容易混入正常網路背景雜訊,使防守方難以辨識。
專家分析表示,這三個網域皆在 2026 年 1 月 20 日至 21 日的 24 小時內,透過低價網域註冊商 NameSilo 集中註冊,並啟用隱私保護以遮蔽 WHOIS 資訊。這種「短時間批次註冊、立即投入使用」的模式,與 APT41 過去已知的基礎設施建置手法高度吻合。
此外,即使防守方成功識別相關基礎設施,C2 伺服器也被設計為不回應一般探測請求,僅在收到符合惡意程式精確通訊模式的流量時才啟動互動,進一步提高溯源與封鎖的難度。
關於 APT41
APT41 又名 Winnti、Wicked Panda、Barium、Silver Dragon 與 Brass Typhoon,最早於 2012 年被識別,為目前最活躍的中國連結威脅組織之一。不同於一般間諜組織,APT41 同時從事兩類行動:一是
為北京執行網路間諜任務,二是
進行網路犯罪以獲取財務利益。因此,該組織更像是鬆散的駭客集體,而非單一組織。美國政府曾於 2020 年對其五名成員提起訴訟,指控其參與攻擊全球逾百家企業。然而,這些起訴行動顯然未能有效阻止該組織持續運作。
雲端憑證一旦落入攻擊者手中,便形同取得合法使用者身分,使其得以在雲端環境中橫向移動與提升權限,並在不留下典型惡意程式痕跡的情況下長期潛伏。
偵測與防護建議
網路層偵測
- 監控非郵件工作負載對外發起的 SMTP(通訊埠 25)流量
- 針對 UDP 廣播流量中的通訊埠 6006 設立警示
- 封鎖或監控連線至 43[.]99[.]48[.]196 與上述三個仿冒域名的流量
主機層偵測
- 稽核非預期的雲端憑證檔案讀取行為
- 監控由非標準程序發起的雲端實例後設資料 API 呼叫
- 主動搜尋出現在 /tmp、/var/tmp 與 /dev/shm 等非預期位置的靜態連結 ELF 執行檔
雲端原生偵測
- 啟用 AWS CloudTrail 與 Google Cloud Audit Logs,並針對異常來源 IP 的憑證使用行為設定警示
- 定期審查 IAM 角色代入事件的異常模式
- 在 AWS 環境中實作 IMDSv2,要求存取後設資料時須附帶工作階段令牌,以提高憑證竊取的攻擊門檻
本文轉載自 DarkReading。