中國「銀狐」APT黑客組織利用醫療軟件發動多階段網絡間諜攻擊,專攻醫療及公共部門
中國背景的高級持續性威脅(APT)組織「銀狐」(Silver Fox,又名Void Arachne或The Great Thief of Valley),近日被揭發發動一連串複雜的多階段網絡攻擊,矛頭直指全球醫療機構及公共部門。自2024年起活躍,外界普遍相信該組織背後有國家支持,主要以網絡間諜及數據竊取為核心,利用被植入木馬的醫療軟件及雲端基礎設施,並以自家開發的遠端遙控木馬(RAT)「Winos 4.0」(又稱ValleyRAT)作為攻擊核心武器。
多階段網絡間諜攻擊詳情
攻擊鏈由多個初始感染途徑展開,包括SEO毒化(搜尋引擎優化詐騙)、釣魚電郵,以及被植入後門的合法應用程式安裝包(如Chrome、VPN客戶端、AI工具等)。其中一個被揭發的案例,是將Philips DICOM Viewer醫療影像瀏覽器木馬化,偽裝成「MediaViewerLauncher.exe」作為第一階段的載體。
當受害者執行該程式後,惡意軟件會聯絡阿里雲OSS(Object Storage Service)儲存庫,下載加密設定檔及偽裝成普通圖片(如a.gif、s.jpeg)的惡意載荷。根據Picus Security的報告,這些檔案內含TrueSightKiller驅動程式(189atohci.sys)及Shellcode,為後續攻擊鋪路。
同時,惡意程式會平行運行多個本地Windows指令(如cmd.exe、ping.exe)進行系統偵查,並用PowerShell在C:ProgramData等路徑設置Windows Defender排除規則,增加隱蔽性,避免被偵測。
武器化軟件結合雲端基礎設施,專業規避防毒
進入第二階段,銀狐APT會準備惡意載入器並進一步規避防毒軟件。透過載入到記憶體的Shellcode,惡意DLL被解包,再用RPC函式庫安排定時任務,確保惡意程式持續存在。
若發現系統內有如Windows Defender等安全軟件,TrueSightKiller驅動程式會利用漏洞,透過DeviceIoControl及特定IOCTL指令終止防毒進程,徹底清除防禦。
最終階段,攻擊者會部署ValleyRAT,建立持續的後門,並安裝記錄鍵盤操作(Keylogger)及加密貨幣挖礦程式,全部設置為定時啟動,確保在系統中長期潛伏。
值得注意的是,惡意程式會與已失效的C2(指揮與控制)伺服器8.217.60.40:8917通訊,顯示黑客有意長期操控受感染系統。
全球攻擊活動,針對日本、台灣等地
已確認的攻擊行動顯示,銀狐APT活動遍及全球,例如「Operation Holding Hands」行動中,黑客針對日本及台灣,利用數碼簽署的假冒薪酬通知書及冒充台灣國稅局的釣魚電郵作誘餌,成功散播Winos 4.0,滲透當地政府及工業系統。
此外,該組織善於利用被盜取的數碼證書及SEO毒化,將惡意安裝包偽裝成熱門軟件,誘使用戶下載,進一步擴大攻擊面。
專家建議,機構應加強終端監控(如EDR/XDR工具)、啟用PowerShell日誌記錄、限制軟件安裝來源,並實施網絡分段、最少權限原則,以及監控異常定時任務或可疑IP流量,方能有效防禦這類高隱蔽性的APT攻擊。
銀狐APT結合高端技術與社交工程手法,對全球關鍵基礎設施構成嚴峻威脅。
編輯評論:醫療數碼化與國家級網攻的灰色地帶
這宗銀狐APT攻擊事件,揭示了現代醫療體系數碼化背後的雙刃劍效應。醫療行業一向被視為「高價值、低防禦」的目標,因為醫療數據既敏感又極具市場價值,而行業本身又往往缺乏先進的資安防護意識和資源。銀狐APT正是針對這個結構性弱點,透過偽裝醫療軟件,利用醫護人員對專業工具的信任,將惡意程式滲透到最核心的醫療網絡。
更值得關注的是,這次攻擊不僅止於單純的數據竊取,還結合了加密貨幣挖礦、鍵盤側錄、後門植入等多重惡意功能,反映出現代APT組織已不再滿足於單一攻擊目標,而是追求「多重收益」與「長期潛伏」。這種「一石多鳥」的策略,意味著一旦入侵成功,受害機構不單要面對資料外洩風險,還可能成為地下經濟的「挖礦機」或被用作跳板發動更大規模的攻擊。
此外,銀狐APT利用雲端儲存(如阿里雲OSS)作為惡意載荷分發平台,亦反映出現代黑客組織善於借助合法雲端服務規避偵測,增加追查難度。這對全球雲端服務供應商亦是一個警號——他們需加強用戶行為監控,防止自家平台淪為網攻幫兇。
最後,這類攻擊對於香港及亞洲區的醫療及公共部門同樣具啟示性。隨著醫療系統加速數碼轉型,若未能同步提升資安意識與防禦機制,未來極有可能成為下一個攻擊重災區。機構管理層必須明白,資訊安全不再是IT部門的「技術問題」,而是攸關業務存亡、社會安全的大事。
總結而言,銀狐APT的活動已經敲響警鐘:網絡安全威脅不斷升級,醫療與公共服務機構絕不能再以過去「被動防守」的心態自處。主動監控、實時回應、跨部門協作,才是未來唯一可行的出路。
