【2025年10月29日】北极狼实验室(Arctic Wolf Labs)发布深度研究报告,揭示一起针对欧洲多国外交机构的高级网络间谍活动。该行动由一个与特定地区背景相关的威胁行为者(追踪编号UNC6384)于2025年9月至10月期间发起,利用近期披露的Windows漏洞实施多阶段攻击,成功入侵匈牙利、比利时、塞尔维亚、意大利和荷兰等国的外交系统。此次攻击不仅展示了威胁行为者对漏洞的快速利用能力,更凸显了针对外交机构的网络间谍活动正向更广泛地区扩张。
攻击技术深度解析
此次攻击链始于精心设计的鱼叉式网络钓鱼邮件,邮件内容围绕欧盟委员会边境便利化会议、北约国防采购研讨会等真实外交议题展开,诱饵文件标题如"Agenda_Meeting 26 Sep Brussels.lnk"等,高度仿照真实会议议程。攻击者利用2025年3月披露的Windows快捷方式漏洞ZDI-CAN-25373,通过在LNK文件的COMMAND_LINE_ARGUMENTS结构中添加空格实现隐蔽命令执行。执行后,PowerShell命令解码并提取tar归档文件,部署包含合法签名佳能打印机实用程序的恶意加载器。
攻击的精妙之处在于其DLL侧加载技术:恶意DLL文件(cnmpaui.dll)被植入与合法程序(cnmpaui.exe)相同的目录,利用Windows在系统目录前优先检查当前目录的特性,使恶意代码在合法进程上下文中执行。该恶意DLL通过RC4加密解密并加载PlugX恶意软件,后者在内存中执行,完全规避了基于文件的检测机制。
攻击规模与目标分析
攻击目标高度聚焦于参与跨境政策协调、防务合作及多边外交的欧洲外交机构。在比利时,攻击者利用联合武器训练与评估中心(JARTC)计划作为诱饵;在匈牙利,针对欧盟扩大与东部邻国事务总司的边境便利化会议;在塞尔维亚,围绕NAJU飞行训练计划;在意大利和荷兰,围绕欧洲政治共同体峰会活动。这表明攻击者对欧洲外交议程有深入洞察,其情报收集重点与欧洲防务合作、跨境基础设施建设及多边外交协调密切相关。
北极狼实验室确认,此次攻击已从传统东南亚目标扩展至欧洲,攻击范围呈现明显地域扩张,表明该组织可能部署了更多地域专长的作战团队,同时保持工具开发的集中化。攻击链中使用的CanonStager加载器在2025年9月至10月间从700KB缩减至4KB,显示攻击者正积极优化恶意软件以规避检测。
关键发现与安全警示
漏洞利用速度惊人:威胁行为者在ZDI-CAN-25373漏洞公开披露后仅6个月内即纳入攻击工具集,表明其具备漏洞情报获取或快速开发能力,远超一般攻击者水平。
C2基础设施高度隐蔽:攻击者使用racineupci.org、dorareco.net等域名,通过Let"s Encrypt证书实现HTTPS通信,域名命名模仿合法组织,有效规避安全检测。C2基础设施分布于多国,增加了拦截难度。
恶意软件进化显著:PlugX变种采用控制流扁平化混淆、动态API解析等高级技术,实现内存执行和持久化。恶意软件在注册表中创建"CanonPrinter"自启动项,通过随机命名的隐藏目录(如SamsungDriver、Intelnet)维持持久访问。
情报价值极高:成功入侵后,攻击者可窃取机密文件、监控实时政策讨论、收集凭证以进一步访问网络,获取关于欧洲防务倡议、采购决策、军事战备评估及贸易政策演变的关键情报。
安全建议与应对措施
针对此次攻击,北极狼实验室提出以下关键安全建议:
立即限制LNK文件执行:在Windows系统中禁用资源管理器对.lnk文件的自动解析,尤其对处理敏感外交信息的终端优先实施。
阻断C2基础设施:屏蔽racineupci.org、dorareco.net、naturadeco.net、cseconline.org、vnptgroup.it.com等已识别域名,部署网络边界和Web过滤解决方案。
检测异常进程:重点检查AppData\\\\\\\\Local\\\\\\\\Temp目录中是否存在cnmpaui.exe、cnmpaui.dll和cnmplog.dat组合,警惕佳能打印机二进制文件从非标准路径运行。
加强用户教育:开展针对外交机构员工的专项安全培训,重点识别与外交会议相关的钓鱼邮件特征。
部署高级检测:使用终端检测与响应(EDR)解决方案,监控可疑进程行为(如PowerShell执行、DLL侧加载)和异常网络连接。
战略影响与行业启示
此次攻击标志着针对欧洲外交机构的网络间谍活动进入新阶段。攻击目标从东南亚转向欧洲,表明情报收集范围已超越传统战略区域,聚焦于影响全球地缘政治格局的关键议题。攻击者对漏洞的快速利用能力、攻击链的复杂性以及对外交议程的精准把握,凸显了国家级威胁行为者在技术能力与情报获取方面的优势。
北极狼实验室指出,此次事件揭示了外交机构面临的新型安全挑战:攻击者不仅追求数据窃取,更致力于建立长期隐蔽的间谍通道,以持续获取战略情报。对于高度依赖外交网络的机构而言,此次攻击敲响了警钟——网络防御需从被动响应转向主动预防,特别是在漏洞管理、社会工程防护和纵深防御策略方面。
随着攻击者持续优化恶意软件并扩展目标范围,外交机构必须重新评估其网络安全架构,将威胁情报整合到日常运营中。北极狼实验室已将此次攻击的关键指标纳入其Aurora™平台的检测体系,为客户提供实时防护。
结论
UNC6384的此次行动不仅是一次成功的间谍活动,更是威胁行为者战术演进的典型案例。其快速利用新漏洞、精准社会工程和持续优化恶意软件的能力,展示了国家级网络间谍活动的复杂性与威胁性。欧洲外交机构及全球关键基础设施运营者需立即采取行动,强化网络防御能力,以应对日益复杂的网络间谍威胁。此次事件也凸显了国际社会对网络安全威胁的共同责任,需要加强合作以构建更安全的全球网络环境。
参考资源
1、https://therecord.media/belgium-hungary-diplomatic-entities-hacked-unc6384
2、https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
