大数跨境

重磅APT预警!GhostShell团伙新型多层木马,专攻乌克兰无人机军工供应链,解压文件即沦陷

重磅APT预警!GhostShell团伙新型多层木马,专攻乌克兰无人机军工供应链,解压文件即沦陷 AI紫队安全研究
2026-06-26
2
导读:大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!

        大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究,然后点击右上角的【...】,然后点击【设为星标】即可

        关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。


导语

一份标注无人机研发资料的RAR压缩包,看似正常技术文档,只要用老旧WinRAR打开,后台自动植入多层远控木马。安全厂商Synaptic Security披露代号GhostShell(MB-0009) 高级威胁行动,该团伙自2026年2月起持续针对无人机厂商、军工采购、一线技术人员发起定向鱼叉钓鱼,一套三重C2通信架构、多层内存载荷、多重加密隐匿技术,普通杀毒、终端监控几乎很难拦截,专门窃取无人机图纸、供应链机密、内部办公账号。


一、攻击目标精准锁定无人机军工全链条

本次行动的受害者范围高度聚焦,攻击者完全围绕无人机产业布局钓鱼诱饵:

1. 无人机制造企业研发、技术岗员工

2. 军方无人机运维单位、一线操作技术人员

3. 军工物资采购、供应链对接负责人

4. 相关配套服务商、合作机构工作人员


所有钓鱼压缩包统一伪装乌克兰本土无人机厂商Besomar内部资料,内含多款PDF诱饵,封面分别是无人机整机参数、弹射起飞设备、充电基站、合作方案等业务文档,贴合目标日常工作内容,极大降低警惕性。


二、核心入口:老旧WinRAR高危漏洞,解压即静默投毒

本次攻击最基础突破口是两个早已发布补丁的漏洞:CVE-2025-8088、CVE-2025-6218,WinRAR 7.12及以下版本全部存在风险。

漏洞攻击原理(NTFS备用数据流ADS)

攻击者特制恶意RAR包,利用路径遍历+NTFS隐藏数据流特性:

1. 压缩包外层是正常无人机PDF文档,打开第一眼只会看到合规资料;

2. 压缩包内部ADS隐藏恶意LNK快捷方式,无需用户额外点击;

3. 只要解压操作执行,恶意文件自动跨目录写入Windows开机启动文件夹;

4. 电脑下次重启,脚本自动后台运行,全程无弹窗、无报错,用户毫无感知。


关键细节

漏洞补丁2025年7月随WinRAR 7.13版本发布,但大量政企、军工单位终端长期不统一升级,成为黑客持续利用的永久后门。


三、完整四层攻击链,三条独立C2通道防切断

Ghost采用分阶段投递、多分支载荷设计,一套压缩包落地后分化三条完全独立的通信链路,就算其中一条被防火墙封禁,另外两条仍能维持远控权限。

阶段1:钓鱼RAR投放持久化启动脚本

恶意压缩包`Besomar_documentation.rar`解压后:

展示多份无人机主题PDF诱饵掩盖异常;

自动释放伪装系统更新的VBS脚本至开机目录;

脚本内置Base64加密代码,运行后访问攻击者云服务器,同步下载两款核心加载器`122.exe`、`update.exe`。


分支一:mTLS双向加密正规域名远控(12.exe载荷)

这条链路隐蔽性最强,也是团伙核心主控通道:

1. 加载器内置自定义XOR解密算法,内存释放Stage2主植入程序;

2. 木马自带专属加密证书,颁发机构标识`GhostShell Implant CA`,每台受害设备分配唯一证书序列号;

3. 通过`cdnexpress.cc`域名发起HTTPS双向mTLS加密通信,无合法客户端证书服务器直接返回400错误,防火墙很难识别恶意流量;

4. 木马能力:定时上报设备指纹、全屏截屏、远程执行CMD命令、遍历全盘文档、注册表持久驻留。


分支二:Telegram死信箱动态C2(update.exe载荷)

攻击者利用社交平台做中转域名解析,规避固定IP封禁:

1. 轻量加载器自带反沙箱检测,判断虚拟机、调试环境自动终止;

2. 访问指定Telegram频道,提取页面内加密配置文本;

3. 通过自定义凯撒密码解密,实时获取当日远控服务器IP;

4. 内存直接运行Metasploit反向Shellcode,全程不落地实体文件,EDR内存监控极易漏报。


分支三:Xray隧道+Vidar窃密木马(22.exe载荷)

第三套链路主打批量数据窃取,专门偷账号、密钥、商业资料:

1. Go语言编写多阶段启动器,内置AES加密配置;

2. 自动释放Xray代理工具搭建本地隧道,流量通过境外节点转发;

3. 内存加载知名Vidar窃密器,核心窃取清单:

    浏览器全部账号、Cookie、自动填充密码;

    加密货币钱包、各类客户端密钥;

    Outlook、FTP办公配置、全盘文档、截图记录;

4. 执行完毕自动删除临时文件,不留持久化后门,痕迹清理干净。


四、四大反检测黑科技,传统防护全部失效

1. 多层自定义加密,静态查杀无特征

载荷全程采用多种私有加密方案:

第一层:压缩包内部XOR隐藏恶意脚本;

第二层加载器CRPT异或加密PE程序;

第三阶段主程序内置自定义解密函数,搭配AVX2加速混淆;

Vidar载荷使用AES-256-CBC内存解密,市面上病毒库无固定特征码。


2 内存无文件执行,规避磁盘扫描

全部核心远控、窃密程序均内存反射加载,不会写入硬盘,仅临时解压运行,磁盘杀毒完全无法捕获样本。


3 破坏系统安全监控机制

两款加载器均内置防护绕过代码,运行时主动修补系统底层:

拦截AMSI恶意脚本扫描接口;

屏蔽ETW系统事件日志记录;

覆盖ntdll系统原始函数,切断终端行为溯源链路。


4 多域名多服务商隔离基础设施

攻击者刻意拆分投递域名、C2服务器注册服务商:

恶意文件下载站`cloudaxis.cc`注册于西班牙主机商;

mTLS主控域名`cdnexpress.cc`部署美国服务器;

隧道节点托管摩尔多瓦机房;

多地域分散基础设施,单一地区封禁无法阻断整体攻击。


五、高危识别信号,出现立刻排查

1. 收到无人机、军工供应链相关陌生RAR压缩包;

2. 电脑存在`MicrosoftUpdate`命名开机LNK脚本;

3. 终端频繁对外访问netlify、小众cc后缀境外域名;

4. 进程出现无理由大量内存占用、后台静默上传流量;

5. 任务计划、注册表Run键出现不明启动项;

6 WinRAR版本低于7.13长期未更新。


六、企业/个人完整防御处置方案

一、军工/无人机企业专项加固

1. 统一全网终端WinRAR升级至7.13及以上版本,下线老旧解压软件;

2. 邮件网关拦截带RAR附件的境外发件,业务附件强制沙箱预解压检测;

3. 终端策略限制开机目录自动脚本运行,监控VBS、LNK新增行为;

4. 流量防火墙拦截文中恶意域名、对应境外IP,阻断Telegram死信箱访问;

5. 重点研发、采购岗开展专项钓鱼演练,禁止外部资料私人电脑解压。


二、普通办公人员自查操作

1. 立刻检查WinRAR版本,老旧版本立即卸载重装新版;

2. 陌生行业资料压缩包不要直接双击解压,先上传在线沙箱检测;

3. 定期清理启动文件夹,删除不明LNK、VBS文件;

4. 关闭终端不必要脚本运行权限,禁用陌生程序开机自启。


三、设备中招急救步骤

1. 立刻断开网络,阻断数据外传;

2. 删除开机目录、临时文件夹全部可疑脚本;

3. 清理注册表不明启动项,全盘深度查杀内存恶意程序;

4. 全平台修改浏览器、办公、云服务所有账号密码;

5. 核查无人机图纸、供应链涉密文件是否存在外传痕迹。


结尾总结

GhostShell此次行动释放明确信号:军工、无人机产业链已成高级APT重点狩猎目标。攻击者利用老旧压缩软件漏洞、多层内存载荷、多通道C2架构大幅降低防御门槛,一份看似无害的行业文档,就能造成核心技术图纸、采购机密全盘泄露。


安全的核心从来不是事后查杀,而是提前补齐软件漏洞、规范附件处理流程。转发给从事军工、无人机、装备研发的同行,守住企业核心技术底线!当前文件内容过长,豆包只阅读了前 98%。

加入知识星球,可获取权益

一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

二、为什么加入?  

职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?  


三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」 

✅ 职业发展「精准导航」

 1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;  

 晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;

 技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);

 架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);  


四、适合谁?  

 想突破职业天花板的安全工程师/架构师;  

 需快速落地安全项目的企业负责人;  

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。



【声明】内容源于网络
0
0
AI紫队安全研究
在网络攻防演习中,除了攻防双方的红蓝两队之外,作为 “下一代渗透测试” 的紫队相比于传统的红蓝对抗,代表着更具协作性的方法。本公众号致力于从防御视角如何进行更隐秘地攻击,从攻击视角促进国内防守能力水平更好更快地提升。
内容 15
粉丝 0
AI紫队安全研究 在网络攻防演习中,除了攻防双方的红蓝两队之外,作为 “下一代渗透测试” 的紫队相比于传统的红蓝对抗,代表着更具协作性的方法。本公众号致力于从防御视角如何进行更隐秘地攻击,从攻击视角促进国内防守能力水平更好更快地提升。
总阅读2
粉丝0
内容15