网络安全公司Darktrace近日发布了一份深度分析报告,揭露了一个在亚太地区长期潜伏的高级持续性威胁(APT)活动。该攻击活动的独特之处在于,攻击者自行搭建了一套高度仿真的CDN(内容分发网络)基础设施,伪装成苹果(Apple)和雅虎(Yahoo)的官方服务,以此作为攻击掩护。
CDN本身是用于提升网站访问速度与稳定性的合法技术。攻击者此举的意图非常明确:诱使受害企业的安全监测设备误判,将恶意网络流量识别为来自苹果或雅虎等可信厂商的正常数据交互,从而轻松绕过基于信誉的第一道安全检测防线。

那么,此次网络攻击的具体流程是怎样的?整个过程体现了高度的隐蔽性与策略性。攻击者注册了诸如yahoo-cdn.it.com和icloud-cdn.net等极具迷惑性的域名。受害系统首先会从这些域名下载一个表面合法的、无害的可执行文件作为初始步骤;紧接着,才会拉取与之关联的配置文件以及隐藏了恶意代码的DLL(动态链接库)。这种分阶段、递进式的载荷投递策略,有效规避了传统基于静态哈希值或单一文件黑名单的检测机制。

在代码执行阶段,攻击者大量采用了DLL侧载(DLL Side-Loading)技术。简而言之,该方法是将恶意DLL伪装成Windows系统或合法应用程序运行时所必需的组件,利用程序加载过程中的信任链,使得恶意代码能够在正规进程的掩护下悄然执行。报告明确指出,诸如Microsoft .NET框架和Visual Studio开发环境的相关进程,例如dfsvc.exe、vshost.exe等,都曾被攻击者利用来加载最终的恶意载荷。

在另一条独立的攻击链中,攻击者甚至利用了用户基数庞大的搜狗拼音输入法软件。他们准备了一个名为browser_host.dll的恶意动态链接库,当搜狗拼音输入法进程启动时,该恶意DLL会被加载,进而将代码注入到其他可信系统进程中,实现执行流程的劫持。
至于攻击最终植入的后门,研究人员分析认为,其核心很可能由一个经过升级的FDMTP后门框架驱动。该木马功能完备,支持加密通信、插件化扩展、通过Windows注册表及计划任务实现持久化驻留、全面收集系统信息,并建立了基于DMTP协议的隐蔽命令与控制(C2)通道。攻击的初始注册行为是通过与C2服务器通信的一个名为/GetCluster的特定端点完成的。
从整个攻击链条中观察到的运行时字符串解密、采用AES加密的载荷分发机制,以及多种预设的执行回退方案来看,这显然是一套设计成熟、旨在长期隐蔽潜伏并持续窃取信息的攻击体系。
根据Darktrace的威胁情报追踪,该网络攻击活动最早可追溯至2025年9月底,其战术、技术与程序(TTP)以“中等置信度”与一个名为Twill Typhoon的威胁组织相关联。对于普通个人苹果用户而言,受直接攻击的风险相对较低,但企业机构、软件开发团队及IT管理人员亟需提高警惕,应重点关注软件供应链安全风险,并通过加强内部网络流量分析与监控、全面部署多因素认证(MFA)、严格管理软件供应链及第三方组件等措施来系统性地加固安全防线。
