IT之家 5 月 15 日消息，網(wǎng)絡(luò)安全公司 Darktrace 昨日（5 月 14 日）發(fā)布博文，報(bào)道稱有黑客利用偽造的蘋果和雅虎 CDN 基礎(chǔ)設(shè)施，在亞太地區(qū)發(fā)動長期潛伏攻擊。

IT之家注：CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）本意是把網(wǎng)站內(nèi)容分發(fā)到不同節(jié)點(diǎn)，加快訪問速度并提升穩(wěn)定性。攻擊者偽造帶有品牌色彩的 CDN 域名，就是想讓受害者和安全設(shè)備誤以為流量來自可信服務(wù)。

攻擊者通過 DLL 側(cè)載（DLL sideloading）技術(shù)，將模塊化遠(yuǎn)程訪問木馬隱藏在合法 Windows 進(jìn)程中，繞過傳統(tǒng)黑名單檢測。

這次攻擊具備很強(qiáng)的偽裝，攻擊者冒充大型科技品牌的 CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）基礎(chǔ)設(shè)施，讓流量看起來像正常訪問。

已觀測到的域名包括 yahoo-cdn.it.com 和 icloud-cdn.net，受害系統(tǒng)會先下載合法可執(zhí)行文件，再拉取對應(yīng)配置文件與惡意 DLL，從而降低傳統(tǒng)攔截規(guī)則的命中率。

在執(zhí)行階段，攻擊者大量濫用可信 Windows 程序與 DLL sideloading（動態(tài)鏈接庫側(cè)載）。研究人員提到，Microsoft .NET 和 Visual Studio 相關(guān)進(jìn)程，如 dfsvc.exe、vshost.exe，都曾被用來掩護(hù)惡意代碼。

另一個入侵鏈里，合法的搜狗拼音程序配合名為 browser_host.dll 的惡意 DLL，把代碼注入可信進(jìn)程并劫持執(zhí)行流程。

載荷部分疑似由升級版 FDMTP 后門框架驅(qū)動，該木馬支持加密通信、插件加載、注冊表持久化、計(jì)劃任務(wù)、系統(tǒng)畫像采集，以及基于 DMTP 的命令與控制通道。

攻擊注冊行為曾通過 / GetCluster 端點(diǎn)完成。研究人員還看到運(yùn)行時字符串解密、AES 加密載荷分發(fā)和多種回退執(zhí)行方式，說明這是一套成熟度較高的長期潛伏方案。

該活動自 2025 年 9 月底出現(xiàn)，手法以“中等置信度”關(guān)聯(lián)至威脅集群 Twill Typhoon。普通蘋果用戶受直接影響較小，但企業(yè)和開發(fā)者需警惕供應(yīng)鏈風(fēng)險(xiǎn)，加強(qiáng)網(wǎng)絡(luò)監(jiān)控與多因素認(rèn)證。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。