APT28组织新后门曝光——每周威胁情报动态第238期（08.29-09.04）

APT28组织新后门NotDoor曝光

西班牙网络安全公司S2 Grupo近日发现了一个名为NotDoor的新型后门程序，该程序被归属为俄罗斯情报机构关联的APT28组织所使用。NotDoor旨在针对北约成员国多家企业的Outlook邮件系统进行渗透，实现数据窃取、文件上传和命令执行等功能。

APT28组织，又被称作Fancy Bear、Sofacy Group等，长期以来被认为与俄罗斯政府存在关联。该组织在网络攻击领域极为活跃，将政府、军事、外交机构以及重要企业列为重点攻击目标，凭借高级定向攻击手段，给众多国家和组织带来了严重的安全威胁。此次“Notdoor”工具的出现，无疑是该组织攻击能力持续进化的又一有力证明。

研究人员从攻击过程分析发现，NotDoor后门是通过伪装合法的Microsoft OneDrive.exe可执行文件，利用DLL侧加载技术加载恶意SSPICLI.dll文件，悄无声息地植入VBA宏后门并禁用Outlook的宏安全保护。其名称“NotDoor”来源于代码中反复出现的“Nothing”一词，反映了其设计上的隐蔽性。

研究人员通过逆向工程与静态/动态分析，详细剖析了这一后门的运作机制：它通过三段Base64编码的PowerShell命令完成初始部署，将恶意VBA宏文件testtemp.ini复制到Outlook的VbaProject.OTM路径，修改注册表以实现持久化，并通过禁用宏安全提示降低被检测的风险。核心功能围绕Outlook环境，监控新邮件并通过特定触发词（如“Daily Report”）激活恶意操作，随后删除触发邮件以销毁痕迹。

NotDoor支持多种加密邮件命令，包括执行系统命令、窃取文件、上传文件以及隐藏命令输出，所有操作均在%TEMP%Temp文件夹中处理临时文件，并通过加密邮件（发送至[email protected]，主题为“Re: 0”）实现数据外传。其代码采用高度混淆技术，如随机变量名与自定义字符串加密（在Base64前添加随机字符），极大增加了分析难度。研究人员通过解码工具、注册表监控和网络流量分析，成功还原了其触发机制与加密方法，发现后门利用Outlook的Application_MAPILogonComplete和Application_NewMailEx事件，在用户登录或接收新邮件时自动运行。

研究人员通过比对其操作模式，如使用webhook.site进行DNS查询和命令验证等，确认NotDoor与APT28的既有活动高度吻合，表明该组织在针对北约相关目标的间谍攻击活动中持续扩展工具库。NotDoor的隐秘设计使其能绕过传统安全机制，如宏禁用和签名验证，可能导致受害企业面临严重的数据泄露和系统持久化入侵风险。

参考链接：

https://lab52.io/blog/analyzing-notdoor-inside-apt28s-expanding-arsenal/

APT37组织利用“Operation Hankook Phantom”行动针对韩国发起定向攻击

网络安全公司Seqrite近日发现了一起跟朝鲜相联的黑客组织APT37（又称ScarCruft或Reaper）发起的网络间谍攻击活动，代号“Operation HanKook Phantom”。这场攻击活动主要针对韩国政府部门、研究机构、大学及退休外交官等高价值目标。攻击者通过精心设计的鱼叉式网络钓鱼手段窃取敏感情报，凸显了朝鲜网络威胁的持续性和复杂性。

研究人员发现，APT37的攻击活动始于精心设计的社会工程学陷阱，通过伪装成合法文件的钓鱼邮件展开。攻击者利用从韩国情报机构泄露的真实简报作为诱饵，精心伪装邮件内容，使其看似来自可信来源，诱导收件人打开附件。这些附件通常为ZIP压缩包，内含伪装成PDF的LNK（Windows快捷方式）文件，例如命名为“韩国情报简报.pdf.lnk”。一旦用户点击，LNK文件会触发嵌入的PowerShell脚本，通过mshta.exe执行JavaScript或VBScript，悄无声息地从远程服务器下载第二阶段恶意程序，最终在内存中注入ROKRAT后门。整个过程无磁盘文件写入，仅通过进程注入与反射加载实现“无痕”感染，彻底规避了基于静态特征的检测机制。

相较于APT37组织过往的攻击活动，此次攻击活动展现出显著的技术升级。ROKRAT后门不再依赖单一通信渠道，而是通过pCloud、Dropbox等合法云服务接收指令，并支持Windows、macOS及Android多平台部署。其功能涵盖文件窃取、屏幕截图、键盘记录，甚至可发起分布式拒绝服务（DDoS）攻击。更值得注意的是，攻击者混用了地下市场售卖的Amadey商业远程控制工具（RAT），通过“合法工具+定制恶意软件”的组合降低溯源难度。此外，部分样本中残留的InkMaker v1打包器元数据，暴露了操作人员对工具链的疏于清理，成为追踪攻击者身份的关键线索。

为逃避安全分析，APT37组织在恶意代码中嵌入了多层反检测机制。例如，ROKRAT会检查进程列表中的SysAnalyzer沙箱环境、调用IsDebuggerPresent API检测调试器，并通过扫描VMWare相关文件确认是否运行于虚拟机。若检测到分析环境，恶意程序将立即终止运行或返回虚假数据。在持久化驻留方面，攻击者不仅使用传统的注册表自启动项，还通过篡改系统服务配置实现隐蔽启动。例如，Chinotto变种恶意软件通过修改“Windows Defender Advanced Threat Protection”服务的启动参数，在系统防护机制的名义下长期潜伏。C2服务器也是隐藏在免费域名或被入侵的合法网站中，使用HTTPS伪装正常流量，进一步增加检测难度。

研究人员发现此次“Operation HanKook Phantom”攻击活动最早于2025年夏季被监测到，与APT37组织以往攻击模式高度一致，例如利用Adobe Flash零日漏洞（CVE-2018-4878）的代码重叠，佐证了其归属。攻击者还采用了字符串混淆、环境检查和云服务滥用等规避技术，使传统签名检测失效。 

图 1 APT37组织攻击链示意图

参考链接：

https://www.seqrite.com/blog/operation-hankook-phantom-north-korean-apt37-targeting-south-korea/

英国捷豹路虎公司遭遇重大网络攻击，全球运营受重创

近日，英国豪华汽车制造商捷豹路虎（Jaguar Land Rover，简称JLR）遭遇了一场严重的网络攻击，导致其全球IT系统基础设施受到冲击，生产线、零售业务及在线平台运营陷入瘫痪。这场攻击发生在英国新车牌照发布的繁忙时段，给JLR的业务造成了显著影响。

这场网络攻击于2025年8月31日被JLR的安全运营中心首次发现，当时系统检测到异常网络流量，触发了多重安全警报。JLR的安全团队通过入侵检测系统（IDS）和端点检测与响应（EDR）工具，迅速识别出可能的高级持续威胁（APT）。为防止攻击进一步扩散，他们果断关闭了受影响的IT系统，包括管理供应链、机器人技术和库存的数字化系统。这种“教科书式”的损害控制措施虽然有效阻止了攻击者深入渗透，但也导致了全球生产和零售业务的全面中断。英国索利哈尔和默西塞德郡霍尔伍德工厂的生产线完全停工，影响了路虎发现、揽胜及揽胜运动版等车型的生产。经销商无法注册新车，部分零售网点被迫暂时关闭，客户也无法访问车辆可用性或服务信息。

JLR在官方声明中表示，此次网络事件已得到控制，目前正以可控方式逐步重启全球应用程序。他们强调，截至目前没有证据显示客户数据被窃取，但运营中断对生产和零售造成的冲击不容忽视。为查明攻击的来源和范围，JLR已聘请外部网络安全专家进行全面数字取证调查，并向英国国家网络安全中心（NCSC）等执法机构通报了情况。一个自称由“Scattered Spider、LAPSUS$、ShinyHunters”组成的黑客团体通过Telegram宣称对此次攻击负责，并发布了据称是JLR内部IT系统的截图，还威胁将对英国其他目标如沃达丰及政府官员发起进一步攻击。该组织此前曾与不久前针对Marks & Spencer的网络攻击有关。

此次攻击是JLR今年第二次遭遇网络安全危机。2025年3月，黑客组织Hellcat声称从JLR系统中窃取了数据，包括源代码和跟踪数据。这次事件进一步暴露了汽车行业在数字化转型过程中面临的网络安全挑战。JLR依赖复杂的全球供应链网络，涉及数百家供应商，每家供应商都可能成为攻击的切入点。专家指出，攻击者可能利用供应链漏洞或第三方系统中的弱点渗透JLR的网络。网络安全专家达伦·威廉姆斯警告，尽管运营中断影响重大，但敏感数据泄露可能带来更长期的威胁，如钓鱼攻击、身份盗窃或供应链进一步攻击。

JLR的母公司塔塔汽车尚未披露此次攻击的财务损失，但修复恶意破坏、加固系统及潜在的数据保护法规罚款预计将带来高昂成本。JLR近期已面临多重挑战，包括因美国进口关税导致的利润下降49%、新款电动揽胜和捷豹车型推迟至2026年发布，以及计划裁减约500个英国管理岗位。此次攻击可能加剧供应链瓶颈，并推迟旗舰电动车型如捷豹XJ EV和路虎卫士EV的交付。

尽管如此，JLR因其迅速而透明的危机响应获得了行业专家的肯定。他们正在通过与外部专家合作进行数字取证、加固系统、审查供应链风险以及加强实时监控和快速响应策略来应对危机。同时，JLR承诺将与国家犯罪局（NCA）和NCSC密切合作，调查事件并防止未来攻击，并在调查取得进展时向公众提供更新。

参考链接：

https://gbhackers.com/jaguar-land-rover-confirms-cyberattack/

知名网络安全厂商Zscaler客户数据遭泄露

近日，知名网络安全厂商Zscaler遭遇一起典型的供应链攻击事件。攻击者是通过第三方营销软件Salesloft Drift发起的供应链攻击，导致其Salesforce实例中的客户信息被非法窃取。此次攻击不仅对Zscaler自身构成了威胁，还波及了多家与其使用相同平台的知名企业，包括Google、Cisco等，影响范围广泛。

Salesloft Drift作为一种与Salesforce深度集成的AI聊天代理和营销SaaS工具，原本旨在通过自动化销售工作流程和客户互动来提升效率。然而，这一集成平台却意外成为了攻击者的突破口。攻击者通过精心策划，成功入侵了Salesloft Drift，并窃取了其OAuth令牌和刷新令牌。这些令牌作为访问Salesforce API的关键凭证，一旦落入不法之手，便为攻击者打开了通往多个组织Salesforce环境的大门。

事件始于2025年8月8日至8月18日期间，攻击者通过利用窃取的OAuth令牌，得以非法访问了与Salesloft Drift集成的多个Salesforce实例，其中就包括Zscaler的实例。在访问过程中，攻击者表现出了高度的操作安全意识，他们批量导出了大量敏感客户数据，这些数据涵盖了客户的姓名、商业邮箱、职位、电话号码、区域信息、产品许可信息，甚至包括部分支持工单内容。更为严重的是，攻击者还利用这些令牌进一步渗透，访问了Google Workspace电子邮件账户，读取了邮件内容，从而扩大了数据泄露的范围和深度。

在技术层面，此次攻击凸显了OAuth令牌管理的重大漏洞。OAuth令牌因其持久性和广泛的访问权限，成为了供应链攻击中备受青睐的目标。攻击者正是利用了这一点，通过窃取并滥用令牌，长期保持了对目标系统的访问权限。此外，攻击者还可能借助了社会工程学手段，如语音钓鱼等，诱使员工将恶意OAuth应用与公司Salesforce实例关联，从而顺利获得访问凭证。

面对这一严峻形势，Zscaler迅速做出了反应。他们立即撤销了所有与Drift集成的访问权限，轮换了API令牌，并加强了客户支持的身份验证流程。同时，Zscaler还积极开展了第三方供应商的风险评估工作，以确保类似事件不再发生。此外，Zscaler还建议客户立即检查与Drift相关的所有第三方集成实例，撤销或更换凭证，并密切监控异常活动，以防范潜在的风险。

参考链接：

https://securityaffairs.com/181801/data-breach/supply-chain-attack-hits-zscaler-via-salesloft-drift-leaking-customer-info.html

XWorm恶意软件感染链的演变分析

近日，网络安全公司Trellix发现一起复杂且持续演变的XWorm后门攻击活动，该活动标志着XWorm在部署策略上发生重大战略性转变。这款恶意软件从早期依赖简单脚本的攻击方式，逐步升级为利用复杂混淆技术和新型分发机制的隐秘攻击手段，展现了网络威胁快速进化的趋势。

XWorm的攻击通常始于精心伪装的网络钓鱼邮件或恶意下载链接，这些邮件伪装成合法的商业通信，诱导用户点击链接或打开附件。与早期依赖简单VBScript或PowerShell脚本触发的感染方式不同，最新变种引入了更复杂的初始感染机制。攻击者通过伪装成合法文件的JavaScript脚本或利用Office文档（OOXML格式）中的漏洞嵌入恶意RTF文件，结合Alternate Format Chunk（AltChunk）技术加载恶意代码，成功绕过传统防病毒软件的检测。研究人员还发现，XWorm还利用了CVE-2023-36884等漏洞，通过嵌入式RTF文件实现远程代码执行，进一步提升了感染的隐蔽性。

随着XWorm感染链的演变，其攻击方式变得愈发复杂。早期版本依赖直接的可执行文件或简单脚本，容易被安全工具识别。而后，攻击者引入了加密和多层打包器等混淆技术，并通过合法云服务（如Google Drive或Dropbox）分发恶意文件，掩盖其来源。最新变种更是采用了动态链接库（DLL）侧加载和内存驻留技术，避免在磁盘上留下明显痕迹，大幅降低了被检测的可能性。这些技术进步使得XWorm能够更有效地规避传统防病毒软件和沙箱分析。

研究人员还XWorm的功能也得到了显著增强。其最新变种不仅能够窃取用户凭据、浏览器数据等敏感信息，还通过命令与控制（C2）服务器实现对受害者系统的完全控制，执行文件操作、屏幕捕获等任务。此外，XWorm支持动态加载模块，允许攻击者根据需要扩展功能，例如传播勒索软件或进行数据加密。这种模块化设计使其成为多功能威胁工具，进一步加剧了其危害性。

图 2 XWorm攻击感染链

参考链接：

https://www.trellix.com/blogs/research/xworms-evolving-infection-chain-from-predictable-to-deceptive/

新型勒索软件Obscura技术分析

近日，网络安全研究人员发现了一种新型Obscura勒索软件变种，其采用了一系列创新性的技术手段来规避安全检测并对受害者文件进行加密。该变种展现了勒索软件攻击技术的持续演进，值得网络安全界高度关注。

根据研究人员的技术分析发现，Obscura的攻击通常始于利用暴露的远程桌面协议（RDP）端口或被盗凭据进入受害者网络。在一个典型案例中，攻击者仅用7分钟便完成了从初始登录到部署勒索软件的整个过程，显示出对目标网络的高度熟悉。攻击者通过伪装成合法Windows进程（如svchost.exe和cmd.exe）进行进程注入，隐藏其恶意活动，同时利用命令行参数（如“-s”或“-a”）启动恶意进程。为了进一步规避检测，Obscura会运行命令如“bcdedit.exe /set loadoptions DDISABLE_INTEGRITY_CHECKS”以禁用驱动程序签名检查，从而加载恶意内核驱动程序。攻击者还通过创建新用户账户或利用网络共享（如C$）在网络中横向移动，扩大感染范围，甚至尝试禁用Windows Defender以削弱系统防御。

一旦准备就绪，Obscura便迅速加密目标文件，并为加密文件添加“.obscura”扩展名，随后生成勒索信文件（如“obscura_readme_[随机].txt”），要求受害者通过暗网链接或电子邮件（如[email protected]）联系以支付加密货币赎金。尽管勒索信声称Obscura隶属于某个勒索软件即服务（RaaS）组织，但其具体归属仍未被完全验证，增加了追踪其来源的难度。

尽管在Obscura的代码中发现了针对不同域角色的消息提示，暗示其可能具备网络传播能力，但实际分析表明，该勒索软件并未实现完整的横向移动功能，其攻击范围主要局限于本地系统。然而，这并不意味着可以对其掉以轻心，因为任何勒索软件的出现都可能是更广泛、更复杂攻击的前奏。

参考链接：

https://www.huntress.com/blog/obscura-ransomware-variant