微新创想:2026年5月14日,网络安全公司Darktrace披露,一威胁组织自2025年9月底起,利用伪造的苹果和雅虎CDN域名在亚太地区实施长期潜伏攻击。这些伪造域名包括icloud-cdn.net、yahoo-cdn.it.com等,攻击者通过这些域名伪装成合法的网络服务,以逃避用户和安全系统的察觉。
攻击者采用DLL侧载技术,将升级版FDMTP后门注入dfsvc.exe、vshost.exe及搜狗拼音等合法进程中。这种技术使得恶意代码能够伪装成正常软件的一部分,从而绕过传统的安全检测机制。由于这些进程本身是合法且常见的,攻击者得以在系统中长期隐藏,增加了检测和防御的难度。
该攻击活动的载荷支持AES加密,确保了数据传输的安全性,同时也增加了分析和拦截的复杂度。此外,载荷具备多回退执行功能,能够在检测到异常时自动切换执行路径,进一步提高隐蔽性。攻击者还使用DMTP协议进行C2通信,这种协议相比传统的C2通信方式更加隐蔽,有助于维持持久的远程控制。
该活动被关联到威胁集群Twill Typhoon,这是一个专注于针对企业与开发者的攻击网络。Twill Typhoon的攻击目标通常包括企业内部系统、开发环境以及相关技术资源,旨在窃取敏感数据或破坏关键基础设施。普通用户受到的影响相对较小,但仍需保持警惕,防止因第三方软件或网络服务被入侵而间接暴露于风险之中。
面对此类攻击,企业应加强网络监控,定期更新安全防护措施,并对所有网络流量进行深入分析。同时,开发者在使用第三方库和资源时,应确保其来源可靠,避免因依赖恶意组件而带来潜在威胁。通过提升整体安全意识和技术手段,可以有效降低被此类攻击影响的可能性。
