近年来,网络攻击手段日益复杂,黑客组织不断翻新策略以躲避安全防护。中国黑客团体银狐(又名Void Arachne)近期被发现利用假冒网站大肆传播特定恶意软件——Sainbox远程访问木马(RAT)与开源隐藏型Rootkit,针对讲中文的计算机用户实施攻击。该活动引发安全界高度关注,显示出攻击者在执行隐蔽操作上的技术进步,也提醒用户与企业严肃对待软件来源的安全风险。 此次攻击主要通过冒充流行办公软件如WPS Office、搜狗输入法和DeepSeek等知名程序的钓鱼网站实施,挟带恶意MSI安装程序欺骗用户下载。被发现的钓鱼网站域名通常伪装得极具迷惑性,例如“wpsice[.]com”,并且使用简体中文界面,清楚显示其受众定位为中国大陆及全球讲中文的网络用户。这种策略不单提升了攻击的成功率,也暴露出黑客精准的市场分析能力。
在技术实现层面,恶意MSI安装包内嵌了一个名为“shine.exe”的合法可执行文件,该文件通过DLL侧载攻击技术加载一个伪装成正常组件的恶意动态链接库libcef.dll。此恶意DLL从文本文件“1.txt”中提取加密的shellcode,执行后则启动Sainbox远控木马主程序。Sainbox远控木马系Gh0st RAT家族的变种,具有强大的远程控制能力,包括窃取数据、下载更多恶意文件,以及操纵受感染系统。 除了Sainbox,攻击者还将开源隐藏型Rootkit纳入载荷中。该Rootkit利用Windows内核驱动技术,在受害主机上隐藏恶意程序的进程和注册表键值,极大增强了木马的隐蔽性,绕过传统杀毒检测和安全审计。这种合并使用远控木马与Rootkit的手法,表明银狐组织有能力快速集成现成的开源恶意代码,从而降低开发成本,却提高攻击效率。
值得注意的是,这并非银狐组织第一次采用类似策略。早在2024年7月,安全团队eSentire披露该黑客团体通过伪装的虚假谷歌Chrome浏览器网站,向中国用户传播Gh0st RAT。随后,今年2月,Morphisec也揭露了银狐利用仿冒浏览器软件下载网站分发另一个Gh0st RAT变种——ValleyRAT。可见,银狐持续锁定讲中文的Windows用户,利用社会工程学和语言相匹配这一要素增强攻击成功率。 借助这些欺骗手段,银狐攻击活动呈现高度隐蔽性及持续性。木马感染后不仅能控制受害计算机执行命令,还可下载其他变种恶意软件,形成多层次的威胁链条。
与此同时,隐藏型Rootkit确保木马进程难以被发现,这种“隐+控”的复合型攻击使得检测和防御更加困难。 网络安全专家建议火速提升对可疑网站的警惕,切勿轻易下载来源不明的软件安装包。企业应加强终端安全防护,运用先进的行为分析和文件完整性监控设备以识别异常活动。员工教育尤为关键,提升网络钓鱼的识别能力,从源头上杜绝恶意软件安装。同时,及时部署和更新系统补丁,强化对内核驱动的监控,减小Rootkit侵入可能性。 近年来,类似银狐利用开源恶意工具快速组装攻击载荷的案例屡见不鲜,安全防御的环节必须同步进化。
将远控木马和Rootkit结合的攻击方式,不仅降低了攻击门槛,也增加了防御难度。应对这种威胁,安全技术团队需要整合多种检测技术,如沙盒分析、深度包检测与系统行为基线,形成多维度防护。 此外,从事件追溯可见,银狐黑客集团作战时间稳定且擅长在不同渠道施展攻击,包括伪装虚假软件下载站,以及利用国内大量中文用户对知名软件的信任度。这种针对性极强且具备持续传播能力的网络威胁,对中国网络安全生态造成严重挑战。 综上所述,银狐组织利用假冒网站传播Sainbox远控木马和隐藏型Rootkit,整合开源恶意代码以实现高隐蔽性远程控制,体现了现代网络攻击的高复杂度与隐蔽化趋势。面对该威胁,用户和企业必须加强多层次防护,并培养敏锐的安全意识,识别钓鱼攻击和异常行为以保护数字资产安全。
随着攻击技术不断演进,唯有构筑稳固的安全防线,方能有效抵御此类高级持续威胁,保障信息安全环境的稳定长远发展。
