達賴喇嘛生日前夕爆資安危機！中國駭客組織鎖定藏人網站散播惡意軟體

記者孫敬／編譯

近期，資安研究人員發出緊急警告，兩個與中國大陸相關的駭客組織，代號為「對話行動（Operation Chat）」和「幽靈祈禱（Operation PhantomPrayers）」，在達賴喇嘛90歲生日前夕，趁著與西藏相關網站流量大增之際發動網路間諜行動。這些駭客利用民眾的高度關注，將目標鎖定在訪問西藏主題網站的使用者，透過散播複雜的惡意後門程式，來遠端監控Windows電腦。

延伸閱讀：Windows 11重開機更流暢！微軟推「快速機器復原」加速自動修復

手法解析，誘騙下載偽裝軟體，利用系統漏洞進行監控

這兩波攻擊行動的手法非常精巧。駭客首先入侵一個合法的達賴喇嘛生日問候頁面，悄悄地將其超連結替換掉，將使用者導向看似相同的惡意網域（niccenter[.]net）。在這些偽造的網站上，駭客放置了經過竄改的安裝程式，這些程式偽裝成藏語聊天工具，等待不知情的用戶下載。

一旦使用者執行這些偽裝的安裝包，惡意軟體就會在受害者電腦中植入「幽靈遠端管理工具（Ghost RAT）」或更新的「幽靈網路植入程式（PhantomNet）」。這些惡意程式一旦啟動，就能讓駭客對受害電腦取得廣泛的監控權限，包括竊取檔案、遠端操控網路攝影機、竊聽麥克風，甚至能控制系統的關機功能，嚴重威脅用戶的隱私和數據安全。

這些駭客手法依賴多階段的載入器，巧妙利用 DLL側載（DLL sideloading） 技術，並濫用經過合法簽章的執行檔（如用於GhostChat的Element.exe，以及用於PhantomPrayers的VLC.exe）。這樣做的目的是偽裝成可信任的程式，以規避資安軟體的簽章檢查。Zscaler的分析師指出，這兩起攻擊都刻意使用底層的Windows系統呼叫（Nt* 和 Rtl*），而非較高層級的Win32 API，這種選擇是為了躲避大多數端點監控工具的偵測。

長期監控意圖明顯，遠端執行指令、鍵盤側錄樣樣來

無論是Ghost RAT或PhantomNet，這兩種惡意程式都能透過「按需載入（on-demand）」的插件式DLL來擴展自身功能。這些插件在載入前會進行加密（XOR或AES加密），一旦解密執行，就能讓駭客取得遠端命令介面（remote shells）、執行鍵盤側錄、竊取剪貼簿內容，甚至是完全操控系統登錄檔（Registry）。這顯示了駭客組織追求長期潛伏和監控的意圖。

資安研究人員強調，這類利用供應鏈攻擊方式的側載技術，以及濫用系統原生API的「物盡其用（living-off-the-land）」攻擊模式，仍然是間諜組織在海外僑民社群中建立長期據點的有效手段。這兩起入侵事件清晰地表明，使用者的一個不小心點擊，就可能導致其Windows裝置遭到持續且隱蔽的監控。

資料來源：Cyber Security News

瀏覽 3,247 次