这绝非一次普通的网络入侵事件。针对马来西亚多家政府机构及至少一家私营企业的攻击行动,其周密性与隐蔽性远超普通机会主义黑客的常规操作。尤为值得警惕的是,攻击者采用了一种从被入侵网络静默窃取数据的新策略——此次,他们巧妙地隐藏在了全球广泛使用的Cloudflare服务背后。
安全研究人员近期披露了这起高级持续性威胁(APT)攻击,攻击者利用Cloudflare托管的存储节点作为“数据中转站”来转移窃取的文件,整个过程几乎未触发任何安全警报。这种操作手法,无疑为APT攻击的数据外传环节树立了一个新的“危险范例”。
高度定制化的攻击工具链
此次攻击活动的核心特点,在于其近乎“手工打造”的精密工具链。攻击者并未使用任何现成的、容易被安全软件检测的工具,而是为每个目标环境定制了专门的Python脚本。每个工具都在受控环境中执行特定任务,这种前期准备工作展现了真正的技术实力,也表明攻击者具备严格的行动纪律和明确的战术意图。
根据OASIS Security分析师提供给Cyber Security News(CSN)的威胁情报报告,攻击者控制的基础设施位于马来西亚西部区域的Microsoft Azure虚拟机。一个关键细节是,由于该攻击基础设施尚未被清理,留下了大量攻击工具,研究人员才得以清晰地逆向并还原整个攻击链条。
从数据库访问、内网横向移动测绘,到实时部署webshell和窃取凭证,整个攻击活动环环相扣。而整个行动的“隐蔽精髓”,在于攻击者最终使用Cloudflare存储节点作为窃取文件的接收端点。通过将外传数据流量混入正常的云服务活动,他们成功规避了多数网络监控与数据泄露防护(DLP)系统的检测。
已确认的攻击影响相当严重:包括域控制器凭证被盗、至少一台政府服务器上发现了活跃的webshell后门,以及针对某移动运营商客户验证平台的链式漏洞利用。这些发现共同指向一个结论:攻击者资源充足,且具备同时对多个高价值目标展开系统性、持续性网络攻击的能力。
利用Cloudflare存储节点隐蔽转移数据
攻击活动中最具“创新性”的环节,无疑是数据外传的方式。攻击者专门编写了一个名为gen_photo_upload.py的Python脚本,其核心功能就是将窃取的敏感文件上传至其控制的、由Cloudflare Workers或R2托管的存储节点。
这招极为高明。由于Cloudflare是全球广泛信任的CDN和云服务提供商,流向其服务的网络流量很少会像连接陌生或可疑IP地址那样,立即引发安全运营中心(SOC)团队的怀疑。这种技术,在业内常被称为“寄生或滥用可信服务”,近年来在高级威胁攻击者中日益流行,成为数据窃取的新手段。
通过合法云服务商来路由窃取的数据,攻击者成功地将恶意外联行为伪装成了常规的网络活动。对于那些没有严格检查“可信域名”外传流量具体内容与频率的企业或政府机构来说,这样的数据泄露通道可能长期潜伏而不被发现,造成持续性的信息损失。
该脚本属于一个模块化、高度定向的工具集的一部分,设计得非常专注,专门处理针对Cloudflare节点的文件传输逻辑,体现了攻击的针对性。
定制化C2工具与凭证窃取技术
整个事件调查中,最令人警觉的发现之一,是此前未公开的C#信标生成器和Python命令与控制(C2)监听器的源代码。这个名为beacon.cs的信标和listener_http.py控制器,均非基于任何公开的C2框架(如Cobalt Strike、Metasploit)开发。这直接表明,攻击者拥有自主开发能力,技术水平远超普通脚本黑客。
该信标通过与监听器进行HTTP(S)通信,在攻击者与受控主机之间建立了一条私有的、隐蔽的命令与控制通道。它在攻击基础设施上的存在,表明这套自研工具链已被用于多起攻击行动。开发并维护这样一套独立的、有效的C2框架,需要大量的网络安全专业知识和持续的开发资源支持,这通常是国家级APT黑客组织或高度专业化的网络犯罪团伙的特征。
在凭证窃取方面,攻击者下手精准且破坏力强。他们从至少一台域控制器中提取了关键的Windows注册表配置单元文件(包括SAM、SECURITY和SYSTEM文件)。后续发现的NTDS.dit转储文件也证实,Active Directory的整个目录数据库及密码哈希同样未能幸免。掌握了这些核心凭证哈希,攻击者理论上就获得了持续访问整个受影响域网络的能力,甚至可以在受害者重置部分用户密码后,利用保留的权限和哈希进行凭证传递攻击(PtT)或横向移动,重新建立控制。
因此,对于所有受影响的组织而言,当务之急是立即采取全面的应急响应措施:清除所有活跃的webshell、强制重置所有域级管理员及用户密码(而不仅仅是普通用户密码),并仔细进行威胁狩猎,检查攻击者可能遗留的任何后门或持久化痕迹,以彻底阻断其后续访问路径,防止再次入侵。
入侵指标(IoCs):
(注:以下IP地址和域名已做无害化处理,例如将点号替换为[.],以防止意外解析或点击。这些威胁指标仅在MISP、VirusTotal或SIEM等专业威胁情报平台中恢复原始格式后使用才有意义。)
