資安業者 Bitdefender 指出,具中國背景的進階持續性威脅(APT)組織
FamousSparrow 近期鎖定南高加索地區一間亞塞拜然油氣公司,並在 2025 年 12 月下旬至 2026 年 2 月期間多次發動攻擊。研究人員認為,這顯示中國駭客勢力正將目標延伸至俄羅斯長期關注的勢力範圍。
Bitdefender 技術解決方案總監 Martin Zugec 表示,此次行動高度鎖定特定目標。該地區位於伊朗、土耳其與俄羅斯之間,同時也是歐盟重要的能源走廊;地緣政治與能源供應的變動,也使情資蒐集與滲透行動更受關注。
DLL 側載變形躲避偵測,植入遠端存取工具
Bitdefender 分析指出,攻擊者透過動態連結程式庫側載(DLL sideloading)導入惡意程式,並利用特定執行流程「分段」啟動載入鏈,使惡意 DLL 在單獨分析時不易呈現明顯惡意行為,進而提高沙箱與靜態分析的難度。研究也觀察到工具出現改版跡象,包括雙階段側載機制,以及對 Deed RAT 進行修改,以維持遠端控制能力。同時也提到,本次事件未波及 OT 網路。
是否與 Salt Typhoon 有關仍待更多證據
FamousSparrow 最早於 2021 年被 ESET 追蹤,過去曾鎖定飯店、政府機關與金融單位,範圍涵蓋北美、歐洲、南美與中東。外界曾推測 FamousSparrow 與 Salt Typhoon 可能為同一組織或存在重疊,但研究人員表示,目前缺乏足夠資訊可直接連結兩者;較可能的情況是有共享工具或技術的第三方供應者,使多個中國威脅叢集呈現相似手法。
值得注意的是,受害企業雖曾在特定工作站偵測到入侵並完成清除,但初始入侵向量指向未修補的 Microsoft Exchange 伺服器,導致攻擊者得以再次回到環境中持續滲透。Bitdefender 強調,若未處理根本漏洞與帳號風險,後續復發的機率將大幅提高。
防護建議
- 優先盤點並修補對外服務,特別是 Microsoft Exchange 等關鍵系統,並確認未殘留弱點與後門
- 強化端點偵測與回應(EDR),針對 DLL 側載與可疑載入鏈建立偵測規則
- 進行事件根因分析,涵蓋帳密暴露、權限濫用與橫向移動路徑,同步落實最小權限與分段隔離
本文轉載自 DarkReading。