【精選威脅情資】中東戰火升溫，卡達火速遭 Camaro Dragon 突襲網攻

‍

危害與影響

此事件是一場由 Camaro Dragon 發動的網路間諜突襲，在中東衝突升溫後，攻擊者隨即鎖定卡達境內實體。根據 Check Point Research 報告，攻擊者在區域局勢升級後一天內即展開行動，顯示 APT 組織能迅速調整其目標選擇與社交工程主題，以貼合重大地緣政治事件。

‍

分析師觀點

這次行動重點放在情報蒐集與為初期入侵創造條件，而非立即造成干擾或破壞。觀察到的惡意程式與工具，尤其是 PlugX 與 Cobalt Strike，通常與間諜活動、偵察及後續存取有關。PlugX 可提供長期遠端存取能力，支援檔案竊取、螢幕擷取、鍵盤側錄與命令執行等活動。CobaltStrike 雖然原本是合法的安全工具，但經常被攻擊者挪用，以執行快速偵察並評估受害環境是否值得進一步滲透。

‍

描述

目前主要識別出的行為者是 Camaro Dragon（與中國有關的 APT 組織），其活動與公開觀測中的 Earth Preta 及 Mustang Panda 重疊。這波行動使用了與衝突相關、刻意營造即時性與可信度的誘餌內容，包括提及巴林美軍基地遇襲的誘餌，以及波斯灣油氣設施遭打擊等內容。這顯示攻擊者有意利用區域焦慮與戰時資訊快速流動的特性，吸引使用者的目光。

此事件也凸顯出一項更廣泛的戰略憂慮：卡達作為情報目標的重要性正在上升。報告指出，卡達處於區域與全球政治利益交會點，在衝突期間特別具有吸引力。雖然報告未點名具體受害組織，但依觀察到的誘餌主題推斷，攻擊者很可能對與卡達政府有關的實體、安全相關組織，以及波斯灣油氣產業感興趣。這也與該 APT 組織先前的活動一致，包括針對土耳其軍事目標的攻擊，顯示其持續進行以中東為重點的情報蒐集行動。

廣義而言，這波攻擊行動顯示，地緣政治危機能迅速引發整個波斯灣地區的產業級網路風險。對營運涉及國家安全、區域事務與關鍵基礎設施的組織，此事件應被視為警訊：突發新聞與衝突主題訊息等地緣政治議題，幾乎會在第一時間被駭客組織武器化。

‍

技術分析

此事件至少涉及兩條時間上非常接近的入侵鏈，目標皆為卡達境內實體，兩者都圍繞著與中東衝突最新發展相關的社交工程。從技術層面來看，這些攻擊並非以新穎漏洞利用見長，而是體現在攻擊者的速度與手法上：他們使用可信的區域性誘餌、分階段投遞 payload，並透過合法軟體元件的 DLL 劫持，悄悄啟動惡意程式。第一條攻擊鏈最終部署了與 Camaro Dragon 相關的 PlugX 後門；第二條則使用先前未見的 Rust 撰寫載入器，投遞 Cobalt Strike 以進行入侵後初步評估。綜合來看，這些行動展現出一種務實的入侵模型：快速取得初始存取、透過受信任二進位檔隱蔽執行，並保有彈性的入侵後間諜能力。

偵察（Reconnaissance）

在入侵成功後，攻擊者使用 Cobalt Strike 作為初始階段 payload，對新近感染的系統與網路進行快速偵察。操作者似乎並未立刻採取破壞性或高度侵入性的行動，而是先評估受害環境，判斷該目標是否值得進一步投入後續行動。這顯示在第二波攻擊中，偵察不僅是鎖定目標前的活動，也成為入侵後的重要決策節點。

資源開發（Resource Development）

攻擊者仰賴一套支援性基礎設施，其中包括透過 Kaopu Cloud 與 Cloudflare 註冊的 C2 資源。在第一條感染鏈中，他們也使用了一台遭入侵的伺服器，在受害者執行惡意捷徑檔後託管或傳送下一階段 payload。這些基礎設施支援了分階段部署、payload 擷取，以及後續的指揮控制通訊。

初始存取（Initial Access）

兩波攻擊中的初始存取都依賴與衝突主題相關的誘餌素材，並刻意貼合區域資訊環境。在第一條攻擊鏈中，攻擊者投遞了一個偽裝成「巴林美軍基地遭襲照片」的壓縮檔。壓縮檔內含一個惡意 LNK 檔案，受害者必須執行該檔案，感染程序才會開始。使用當前軍事主題內容，很可能提高收件人信任並開啟檔案的機率。

在第二條攻擊鏈中，攻擊者使用一個受密碼保護的壓縮檔，名稱為 “Strike at Gulf oil and gas facilities.zip”，推測是透過電子郵件傳送。該壓縮檔搭配品質不高、由 AI 生成的誘餌內容，冒充以色列政府，再次意圖利用區域緊張情勢，促使使用者互動。

因此，兩起事件中初始入侵的根本原因，都是社交工程成功誘使使用者執行攻擊者提供的檔案，而不是利用軟體漏洞。

執行（Execution）

當受害者啟動嵌入誘餌封包中的惡意內容時，執行流程便開始。

在第一波攻擊中：

• 受害者執行了壓縮檔中的 LNK 檔。
• 該捷徑啟動了一條多階段感染鏈。
• 感染鏈連線至遠端伺服器，擷取下一階段payload。    
• 接著透過涉及合法 Baidu NetDisk 二進位檔的 DLL 劫持來執行惡意程式。
• 最終啟動 PlugX 後門。

在第二波攻擊中：

• 受害者開啟壓縮檔，觸發 Rust 型載入器的投遞。    
• 該載入器濫用 nvdaHelperRemote.dll 的 DLL 劫持；這是合法的 NVDA 螢幕閱讀器元件。
• 此流程最終執行最後payload Cobalt Strike。    

兩條攻擊鏈中的關鍵技術特徵是：攻擊者並非單純投放並執行明顯的惡意二進位檔，而是透過分階段執行與受信任軟體元件，以較不易引起懷疑的方式啟動 payload。

防禦規避（Defense Evasion）

防禦規避是本事件中最重要的手法之一。首先，兩波攻擊都使用合法軟體的 DLL 劫持：

• 濫用合法的 Baidu NetDisk 可執行檔來載入 PlugX
• 濫用 NVDA 元件 nvdaHelperRemote.dll 來載入 Rust 型載入器與 Cobalt Strike

這使惡意程式更容易混入正常軟體執行流程，降低可疑獨立payload的能見度。

其次，攻擊者使用了偽裝（masquerading）：

• 壓縮檔偽裝成與真實衝突事件相關的照片或報告
• 誘餌被包裝成與目標受眾有關的緊急區域資訊

第三，PlugX 樣本使用了加密的組態與payload資料，包括：

• 組態加密金鑰：qwedfgx202211
• payload 解密金鑰：20260301@@@    

使用加密不僅能模糊惡意程式內部結構，也將該樣本與先前觀察到的 Camaro Dragon 活動連結起來。

憑證存取（Credential Access）

相關研究指出，已部署的 PlugX 後門具備鍵盤側錄能力。這意味著一旦安裝完成，PlugX 可被用來擷取使用者輸入內容，並可能收集輸入於本機或遠端應用程式中的憑證。

探索（Discovery）

第二波攻擊在初始入侵後使用 Cobalt Strike 進行快速系統與網路偵察。這很可能幫助操作者了解：

• 感染的是哪種類型的主機
• 該主機所屬的網路環境為何
• 該受害者是否具有足夠價值，值得進一步深入入侵

這個探索階段似乎是一種實務上的分流與篩選步驟，以決定是否值得投入更多作業資源。

蒐集（Collection）

PlugX 後門支援多種與本事件相關的蒐集功能，包括：

• 螢幕擷取
• 鍵盤側錄

這些能力顯示其目標偏向間諜活動，重點在於蒐集受感染系統上的使用者活動，以及可能敏感的作業資料。

指揮與控制（Commandand and Control, C2）

指揮與控制活動出現在入侵鏈的多個階段。在第一波攻擊中，惡意 LNK 會連線至遭入侵的伺服器，以擷取下一階段 payload。部署完成後，PlugX 提供遠端存取與遠端命令執行能力，使攻擊者能控制受害系統。

在第二波攻擊中，CobaltStrike 作為最終 payload，極可能向攻擊者控制的基礎設施發送 beacon。文章也提到，攻擊者使用了透過 Kaopu Cloud 與 Cloudflare 註冊的 C2 基礎設施，以支援惡意程式控制與入侵後行動。

整體而言，此事件是透過即時地緣政治誘餌、使用者驅動執行、分階段 payload 擷取，以及對合法軟體的隱蔽 DLL 劫持共同完成。第一條攻擊鏈導向成熟的間諜後門 PlugX；第二條則透過 Rust 載入器部署 Cobalt Strike，以進行快速的入侵後評估。根本原因並非軟體漏洞遭利用，而是攻擊者成功運用時事社交工程，結合對受信任二進位檔的濫用，在不立即暴露惡意意圖的情況下執行惡意程式。

‍

緩解措施

卡達及更廣泛波斯灣地區的組織，應將防護重點放在這些攻擊中實際出現的路徑：以衝突為主題的網路釣魚或電子郵件誘餌、透過壓縮檔傳遞的惡意程式、惡意 LNK 執行、利用合法軟體進行 DLL 劫持，以及後續部署 PlugX 或 Cobalt Strike。

1. 強化電子郵件與附件控制

由於觀察到的攻擊活動依賴與區域突發事件相關的誘餌壓縮檔，防禦方應加強以下電子郵件安全控制：

• 受密碼保護的 ZIP 壓縮檔
• 非預期的壓縮附件
• 壓縮檔內含的 LNK 檔案
• 以軍事打擊、油氣事件或緊急區域發展為主題的訊息

安全閘道應隔離、沙箱分析或封鎖來自不受信任寄件者的可疑壓縮檔。這可能影響電子郵件過濾政策、附件處理規則，以及使用者接收外部壓縮檔的工作流程。

2. 限制高風險檔案執行路徑

感染鏈依賴使用者開啟壓縮檔內容並啟動 LNK 檔。組織應透過以下方式降低風險：

• 封鎖或限制從下載、暫存與壓縮檔解壓資料夾執行 LNK 檔    
• 限制從使用者可寫入目錄執行指令碼與二進位檔
• 在可行範圍內實施應用程式白名單

這些控制措施可能影響端點執行政策、使用者下載行為，以及 IT 從暫存資料夾執行工具的流程。

3. 強化對 DLL 劫持與側載的防護

兩波攻擊的關鍵技術都是透過合法軟體元件進行 DLL 劫持，包括 Baidu NetDisk 與 NVDA 相關檔案。因此，緩解措施應包括：

• 監控合法可執行檔從異常路徑載入 DLL 的情況
• 檢查如 Baidu NetDisk 或 NVDA 等軟體是否已安裝、是否必要，以及是否受到妥善管理
• 移除可能被濫用於側載的不必要軟體

這可能影響軟體資產清冊、端點強化基準，以及對受信任應用程式的控制。在某些環境中，特別是依賴無障礙功能的場景，涉及 NVDA 元件的變更應仔細測試，以避免干擾合法使用。

4.  提升端點偵測與威脅獵捕能力

由於 PlugX 與 Cobalt Strike 被用作 payload，組織應確保 EDR 與 SOC 監控能偵測下列行為：

• 從壓縮檔到 LNK 的感染鏈
• 檔案執行後不久出現的可疑對外連線
• DLL 側載行為
• 類似 PlugX 的後門活動
• Cobalt Strike beacon 與偵察行為
• 螢幕擷取、鍵盤側錄、遠端命令執行與檔案外洩模式

威脅獵捕團隊也應搜尋報告中列出的 IOC，包括相關 IP 與網域，並檢視是否存在異常使用 Baidu NetDisk 或 NVDA 元件的紀錄。

5.  加強網路監測與阻斷

由於其中一條攻擊鏈會從遭入侵的伺服器擷取下一階段 payload，另一條則使用外部 C2 基礎設施，防禦方應：

• 監控對已知惡意或可疑基礎設施的對外流量連線
• 檢查附件執行後新出現的連線目的地
• 對敏感系統進行網路分段，尤其是政府、安全與能源相關環境
• 一旦懷疑有 PlugX 或 Cobalt Strike 活動，迅速隔離主機

這些步驟可能影響防火牆規則、代理監控、DNS 檢查與事件回應程序。

6.  提升對事件驅動型網路釣魚的使用者警覺

這些誘餌被設計成能自然融入快速變動的區域通訊環境。應提醒員工，突發的地緣政治新聞，尤其是與衝突有關的「照片」、「報告」或「緊急更新」，都可能被武器化。宣導重點應包括：

• 不開啟非預期的壓縮檔
• 對受密碼保護的附件保持警覺
• 避免執行偽裝成文件或照片集的 LNK 檔
• 立即回報可疑的區域新聞主題電子郵件

這主要影響資安意識訓練，以及針對高階主管或特定產業的溝通，特別是政府、國防周邊與油氣相關職務的使用者。

總而言之，最重要的緩解優先事項，是降低對社交工程式壓縮檔投遞的暴露面，並偵測對合法軟體進行 DLL 劫持的濫用，因為這正是此次觀察到的攻擊中最核心的促成技術。

參考資料

• China-Nexus Activity Against Qatar Observed Amid Expanding Regional Tensions
• 中國駭客 Camaro Dragon 假借中東戰爭誘餌攻擊卡達，散布 PlugX 與 Cobalt Strike
• Check Pointuncovers China-linked Camaro Dragon cyber-espionage campaign targeting Qatariorganizations
• Earth Preta Mixes Legitimate and Malicious Components to Sidestep Detection
• Camaro Dragon Hits Qatar: PlugX and Cobalt Strike Hidden Behind Fake War News

‍

入侵指標 (Indicator ofCompromise, IoCs)

IP

185.219.220.73
91.193.17.117

URL

almersalstore[.]com

Hash