【精選威脅情資】CL-UNK-1068 威脅拆解： 長期潛伏於亞洲關鍵產業的網路間諜

‍

危害與影響

自 2020 年以來，CL-UNK-1068 長期鎖定南亞、東南亞及東亞的高價值組織。根據 Unit 42 報告，其行動鎖定多個關鍵產業，包括航空、能源、政府、執法機關、製藥、科技及電信業。儘管該組織目前尚未歸屬於任何已知編號的威脅主體，但現有情資顯示：操作者母語為中文，我們以中至高信心評估其主要動機為網路間諜行動。

‍

分析師觀點

CL-UNK-1068 構成的威脅不容小覷，原因包含：第一，這並非孤立的單次入侵，而是針對具有戰略重要性產業、持續多年的長期運作。第二，攻擊者展現出跨平台能力，能在 Windows 與 Linux 環境中靈活運作。第三，他們綜合運用客製化惡意程式、改良版開源工具、網頁木馬（Web Shell）及合法系統工具，得以潛伏並維持對目標環境的持續存取。

‍

描述

此行動的主要目標在於掌握受害者環境全貌，並對機敏系統保有長期存取權限。在取得初始進入點後，攻擊者竊取了網頁應用程式設定檔、憑證、瀏覽器資料、含有機敏內容的試算表與 CSV 檔案、SQL 相關資訊及 MSSQL 備份檔案。此類資料外洩可能暴露內部基礎設施細節、特權存取路徑、具商業敏感性的記錄，以及可能受法規保護或具關鍵任務性質的資訊。

觀察攻擊者鎖定的產業光譜，亦顯示此行動具有更廣泛的戰略意涵。政府與執法機關遭入侵後，可能洩露內部通訊、作戰資料或調查情報。若能源、航空與電信等產業遭滲透，攻擊者將能掌握關鍵基礎設施、OT 技術依存關係及區域通訊網的深度情資。在製藥與科技領域，竊取專有技術或研究數據，不僅面臨智慧財產權損失，更將嚴重衝擊企業的長期競爭優勢。

一旦被攻擊成功，更有後續連鎖入侵的風險。資安研究團隊已觀察到攻擊者竊取憑證、外洩密碼，並從系統管理工具及資料庫工具中提取已儲存的存取資訊。這意味著單一入侵事件，即可能促成對其他伺服器、資料庫系統及遠端管理路徑的橫向移動。雖然當前的影響主要是資料竊取，但若遭竊憑證流出並被二度利用，企業將面臨長期且難以根除的曝險危機。

CL-UNK-1068 間諜行動亦引發對系統韌性與潛在攻擊面的擔憂。儘管看似以情報蒐集為首要目標，但使用的部分工具（例如 Xnote Linux 後門程式）具備與隧道傳輸、反向 Shell、連接埠轉發，甚至與 DDoS 相關的功能。若攻擊者選擇擴大其行動目標，將造成比現在影響範圍更大的營運中斷。

綜上所述，CL-UNK-1068長期鎖定的行為模式、不易察覺的攻擊手法，以及對憑證竊取與機敏資料外洩，都對國家安全、公共設施維運及企業風險管理構成嚴峻挑戰。

‍

技術分析

CL-UNK-1068 技術上的特殊之處，在於並不使用單一客製化的惡意程式家族，反而有紀律地綜合運用網頁木馬、DLL 側載、隧道工具、憑證竊取工具，以及跨 Windows 與 Linux 環境的「就地取材」技術。事件起源於面向網路的系統（尤其是網頁基礎設施）遭到反覆入侵，低調地進行後續擴張。攻擊者在以網頁木馬建立初始進入點後，利用受信任的系統執行檔、記憶體內執行 payload、客製化偵察腳本、憑證轉儲及反向代理工具，深化存取權限、進行橫向移動，並悄悄外洩機敏資料。

初始存取（Initial Access）

此事件主要初始存取是在面向網路伺服器上部署網頁木馬：攻擊者使用 GodZilla 及 AntSword 變種取得初始立足點，這些網頁木馬提供了遠端指令執行能力，成為後續入侵階段的基礎。相關情資雖未完整說明植入網頁木馬使用的每一條漏洞路徑，但認為此類入侵與網頁基礎設施的暴露有關，且在部分案例中會透過客製化 Python 可執行檔，嘗試利用 CVE-2023-34048 漏洞攻擊 VMware vCenter Server。

執行（Execution）

此次入侵的執行方式非常靈活，同時運用惡意程式與合法系統工具，特別是透過合法 Python 可執行檔進行 DLL 側載。攻擊者將合法的 python.exe 或 pythonw.exe 與名為 python20.dll 的惡意 DLL，以及一個刻意模仿 Python 執行檔命名、主要用來混淆的 Shellcode 檔案放置於同一目錄。當受信任的 Python 執行檔啟動時，便會側載該惡意 DLL，接著執行以下步驟：

1. 從磁碟讀取混淆的 Shellcode
2. 在記憶體中進行反混淆
3. 在合法的 Python 程序內執行 Shellcode
4. 最後在記憶體中完整解密並啟動 payload

此攻擊鏈讓攻擊者能潛伏於合法程序中執行工具，並大幅減少磁碟留下的數位跡證。

透過此方式啟動的payload 包括：

• 隧道傳輸與持久存取：FRP
• 權限提升：PrintSpoofer
• 內部掃描：ScanPortPlus

除側載鏈外，攻擊者也直接執行了以下工具：

• SuperDump
• 偵察批次腳本：hp.bat、hpp.bat、a.bat
• 憑證竊取：Mimikatz、LsaRecorder、DumpIt、Volatility、ssms.exe
• 權限提升：PrintProgram、srunas.exe、Sliver、PwnKit
• Linux 系統上的     Xnote
• 資料庫直接互動：usql

持久化（Persistence）

此行動採用多種持久化手法：首先，已部署的網頁木馬為遭入侵的網頁伺服器提供了持久存取能力。只要木馬仍存在，攻擊者便可隨時返回並繼續執行指令。接著，CL-UNK-1068 在 Windows 與 Linux 系統上均使用了客製化 FRP 變種，建立繞過防火牆限制的長期反向隧道。這些 FRP 樣本包含獨特的嵌入式識別碼，包括：

• 認證金鑰：frpforzhangwei
• 代理名稱：10014-win-nic-32-v、20012-linux-64-V、10013-linux-64-V
• 共用密碼：f*ckroot123

即使直接存取路徑受限，這些隧道仍為攻擊者提供了彈性的存取管道。

第三，在 Linux系統上，攻擊者部署了 Xnote 後門程式。Xnote 提供反向 Shell、檔案互動、連接埠轉發及反向代理或隧道能力，使其同時具備後門與持久化機制的雙重功能。

最後，在部分案例中，攻擊者利用客製化的 PrintProgram 工具以提升後的權限寫入網頁木馬，這不僅提升了攻擊者的立足點，更鞏固其在系統內的持久性。

權限提升（Privilege Escalation）

取得初始存取後，攻擊者採用了多種方式提權。在 Windows 上，他們使用了 PrintSpoofer 及其客製化 .NET 變種 PrintProgram。PrintProgram 的特殊之處在於，它不僅用於提升權限，還被用於在更高權限的情境下寫入網頁木馬。攻擊者也使用了 srunas.exe，這是透過從其他程序複製存取 token 、使用更高權限執行程序的客製化工具。

另一個被觀察到的工具是用作權限提升的 Shell：Sliver 植入程式。它會嘗試定位 spoolsv.exe 或 lsass.exe 等特權程序，然後使用父程序 ID 欺騙技術，將 cmd.exe 作為這些程序的子程序生成。

在 Linux 上，攻擊者部署了 PwnKit，利用 CVE-2021-4034 漏洞進行本地權限提升。

防禦規避（Defense Evasion）

防禦規避是CL-UNK-1068 攻擊手法的核心。最典型的是 Python DLL 側載鏈，它濫用受信任的 python.exe 或 pythonw.exe 執行檔來啟動惡意程式碼。惡意的 python20.dll 載入器與 Shellcode 的設計，在反混淆與解密後於記憶體中執行 payload，減少磁碟上的數位痕跡，協助惡意活動混入合法程序之中。

攻擊者也使用了混淆的Shellcode 與記憶體內執行，大幅增加靜態偵測與鑑識還原的難度。此外，他們使用批次腳本透過wevtutil 清除 Windows 事件日誌，用以消除行動痕跡。情資亦指出，在嘗試利用 CVE-2023-34048 漏洞時使用的客製化 Python 可執行檔經過 Nuitka 編譯，目的很可能是增加逆向工程的難度。

憑證存取（Credential Access）

攻擊者使用Mimikatz 從記憶體中存取密碼，部署了 LsaRecorder（透過掛鉤 LsaApLogonUserEx2 回呼函式來擷取登入密碼的工具），可在登入事件當下攔截憑證，不只依賴入侵後的存取。

攻擊者更同時使用DumpIt 與 Volatility 儲存系統記憶體，並提取以下資訊：

• 透過 windows.hashdump 取得 NTLM 密碼雜湊值
• 透過 windows.registry.lsadump.Lsadump 取得 LSA 密鑰
• 透過     windows.registry.cachedump.Cachedump 取得快取的網域憑證

部分情況下，批次腳本可將上述工作流程自動化。

資料庫憑證亦是攻擊目標，攻擊者使用 SQL Server Management Studio 密碼匯出工具（ssms.exe），從 sqlstudio.bin 中提取已儲存的連線資訊，並對該檔案進行編碼後外洩。

遭竊的設定檔可間接獲取憑證資料：web.config 與 appsettings.json 等網頁應用程式檔案通常包含連線字串、服務憑證或資料庫認證詳情。同樣地，匯出的 RDP、VNC、SSH 及其他遠端存取設定，可能暴露已儲存的憑證，或引導至憑證遭重複使用的系統。

攻擊者亦使用腳本透過reg save 存取 SAM 與 SYSTEM 登錄檔 Web Shell，以支援離線憑證提取。

探索（Discovery）

攻擊者在建立立足點後，對入侵環境展開系統性且深度的探索，以全面掌握本地系統狀況、識別特權使用者、探索鄰近系統，並定位有價值的資料來源。

在早期入侵中，攻擊者使用客製化 .NET 工具 SuperDump 蒐集廣泛的主機遙測資料，包括使用者資訊、IP 位址、執行中的程序、系統與磁碟詳情、已安裝軟體、桌面與文件檔案、LSASS 轉儲內容，以及以登錄檔為基礎的設定資料。SuperDump 亦鎖定可揭露管理員習慣或額外存取路徑的工具與服務資訊，例如Navicat、WinSCP、RDP、PuTTY、FileZilla、Xmanager、SSH 資料、PowerShell 歷史記錄及近期程式執行記錄。

在後期行動中，改為以批次腳本進行探索，透過 hp.bat、hpp.bat，偶爾使用a.bat 執行。這些腳本運行大量原生指令，用以枚舉以下資訊：

• 已登入的使用者及本地帳號
• 管理員群組成員
• 網路設定與 DNS 快取
• 活動連線與執行中的程序
• 已安裝軟體
• 磁碟與檔案系統詳情
• IIS 設定，包括網站、虛擬目錄、應用程式集區、應用程式及模組
• Windows 安全性記錄中的成功登入事件
• 已載入的使用者設定檔與 SID

攻擊者亦匯出了與PuTTY、RDP、RealVNC 及 TightVNC 相關的登錄檔資料，藉此識別曾存取過的伺服器，並在部分情況下還原已儲存的憑證。這是一種根據管理員自身連線歷史來掌握內部基礎設施的高效方式。

在網路層面，攻擊者使用以 Go 語言開發的客製化掃描工具 ScanPortPlus（同時編譯 Windows 與 Linux 版本）主動掃描內部網路，支援 IP、連接埠及漏洞等掃描，使其得以在初始入侵後識別其他值得鎖定的主機與服務。

攻擊者同時也竊取網站與應用程式檔案，從 c:\inetpub\wwwroot 取得的 web.config、.aspx、.asmx、.asax、.dll，以及 appsettings.json 等 JSON 檔案，暴露了應用程式架構、內部路徑、硬式編碼憑證、連線字串及後端資料庫關係，協助攻擊者判斷哪些系統承載敏感服務，以及橫向移動在何處最具效益。

綜合而言，攻擊者透過工具自動化、腳本化枚舉、登錄檔挖掘及主動網路掃描的多層次組合，在入侵環境中建立起高度完整的內部資訊，為後續的橫向移動、憑證竊取與資料外洩奠定基礎。

橫向移動（Lateral Movement）

建立初始立足點後，攻擊者利用網頁木馬橫向移動至其他主機與 SQL 伺服器。

多項技術要素支援了這一移動過程：

• 從 web.config 與 appsettings.json 等設定檔提取的憑證
• SuperDump 與批次腳本偵察所產生的主機與網路地圖
• 從 RDP、PuTTY、RealVNC 及 TightVNC 相關資料中發現的遠端存取路徑
• 使用 ScanPortPlus 進行內部掃描
• 透過 FRP 進行隧道傳輸與代理
• 透過 Xnote 進行 Linux 反向代理與連接埠轉發，尤其是其 12CPortMapTask 與 13CNewProxyTask 功能

報告亦描述了一個用於削弱 RDP 安全性的批次腳本，它透過停用網路層驗證（NLA）來簡化遠端存取，並可能促進對其他系統的橫向滲透。

蒐集（Collection）

攻擊者蒐集了大量與間諜活動及後續存取相關的資料。

他們最初的蒐集目標通常是 c:\inetpub\wwwroot 中的網站檔案，包括：

• web.config
• .aspx、.asmx、.asax、.dll
• .json，包括     appsettings.json

這些檔案被封存為 web.rar、web1.rar、web2.rar 等名稱。

此外，他們還蒐集了：

• 瀏覽器歷史記錄與書籤
• 桌面及使用者目錄中的敏感 .xlsx 與 .csv 檔案
• MSSQL .bak 資料庫備份檔案
• 偵察腳本產生的主機遙測資料與登錄檔匯出
• SQL 相關資料（可能透過 usql 存取）
• 從 sqlstudio.bin 取得的已儲存 SSMS 連線資訊

批次腳本工作流程亦產生了多個 .txt 與 .db 輸出，然後透過 rar.bat 或 rr.bat 封存為 host.rar。

指揮與控制（Commandand Control）

此次事件涉及多種指揮與控制機制。

最簡單的方式是使用網頁木馬，讓操作者得以遠端發出指令並直接從遭入侵的伺服器接收輸出。

為了實現更持久、更靈活的控制，攻擊者部署了客製化 FRP 執行檔，以建立反向代理隧道並繞過防火牆，將指揮與控制存取能力有效延伸至受害者網路的更深處。

在 Linux 系統上，Xnote 提供了進一步的 C2 能力，包括：

• 反向 Shell（10CShellTask）
• 反向代理/隧道（13CNewProxyTask）
• 連接埠轉發（12CPortMapTask）

這些機制共同使攻擊者得以在隔離或受限的網路環境中，對系統維持互動式控制。

外洩（Exfiltration）

攻擊者並未依賴直接的檔案傳輸，而是通常採用三步驟的方法：

1. 使用 WinRAR 封存檔案
2. 使用 certutil -encode 對封存檔進行 Base64 編碼
3. 透過網頁木馬使用 type 指令將編碼後的內容印出至螢幕

這使他們得以透過現有的 Shell 輸出管道外洩資料，無需透過獨立的傳輸機制上傳檔案。這是一種低摩擦的方法，非常適合僅能透過 Shell 存取的受限環境，且很可能有助於規避部分基於網路的偵測機制。

此技術被用於外洩封存的網站檔案及 sqlstudio.bin 檔案。其他外洩的資料包括瀏覽器相關資料、試算表、CSV 檔案、MSSQL 備份，以及很可能透過 usql 直接存取的 SQL 資料。

影響（Impact）

XnoteLinux 後門程式包含 DDoS 功能，支援 CC、NTP、SYN 洪水及 UDP 洪水等攻擊任務。雖然報告並未指出這些功能已被實際用於攻擊受害者，但相關能力確實存在。

攻擊者亦使用wevtutil 執行了日誌清除，此舉影響了鑑識可見性與事件應變能力。此外，他們透過停用 NLA 來削弱 RDP 安全性，降低了受影響系統的安全態勢。使用 PrintProgram 寫入提升權限的網頁木馬，亦以強化攻擊者控制的方式改變了系統完整性。

從技術角度而言，此次事件由暴露的網頁基礎設施遭入侵所驅動，繼而透過網頁木馬、Python DLL 側載、憑證竊取、內部掃描、反向隧道及低雜訊外洩手段進行隱蔽的後漏洞利用。攻擊者的成功，源於將一系列簡單卻高效的技術環環相扣：濫用受信任的程序、記憶體內載荷執行、大規模主機探索、憑證收割，以及創造性地運用原生工具，在不留下明顯傳輸管道的情況下將資料帶出。

 ‍

緩解措施

緩解 CL-UNK-1068 的威脅，不能僅靠封鎖少數入侵指標。此次事件所揭示的攻擊模式是一種長期、跨平台的入侵手法，依賴網頁木馬、憑證竊取、DLL 側載、隧道傳輸、權限提升及隱蔽外洩。由於攻擊者頻繁使用合法工具與常見的系統管理工具，組織應優先針對 Windows 與 Linux 環境，推動強化措施、縮減暴露面，並部署以行為為基礎的偵測機制。

1. 縮減面向網際網路系統的暴露面

首要任務是縮減對外可存取服務的攻擊面。報告顯示攻擊者很可能濫用了公開面向的網頁基礎設施，並嘗試利用 VMware vCenter Server 的漏洞，包括 CVE-2023-34048。因此，組織應：

• 及時修補面向網際網路的應用程式，尤其是：
   
  • VMware vCenter Server
   
  • IIS 與基於 ASP.NET      Core 的網頁應用程式
   
  • Linux 網頁伺服器
• 審查 vCenter、網頁管理介面及資料庫相關服務是否有不必要的公開暴露
• 持續盤點對外暴露的資產，並對可公開存取的 vCenter 系統及其他關鍵管理服務啟用告警

上述措施最直接影響的範疇包括：

• VMware vCenter 服務
• IIS 網頁伺服器
• ASP.NET Core 及 .NET 應用程式與網頁根目錄（如c:\inetpub\wwwroot）
• Linux 代管的網頁服務

2. 主動排查網頁木馬與遭濫用的網頁內容

由於攻擊者使用GodZilla 及 AntSword 變種網頁木馬作為初始存取與後續行動的工具，防禦者應檢查網頁伺服器上是否存在未經授權的檔案及可疑的異動。應特別關注此次入侵活動中提及的檔案與目錄，包括：

• web.config
• .aspx、.asmx、.asax、.dll
• .json 檔案，例如 appsettings.json

安全團隊應驗證檔案完整性、審查網頁目錄的近期異動，並限制能夠寫入正式環境網頁根目錄的人員範圍。這對於以 IIS 代管的業務應用程式及公開入口網站而言尤為重要。

3. 偵測攻擊者的標誌性行為，而非僅依賴已知惡意程式

報告明確建議，應超越靜態指標的限制，針對行為異常進行偵測調校。以下三種行為尤為關鍵：

• 濫用合法的 python.exe 或 pythonw.exe 進行 DLL 側載
• 部署未經授權的 FRP 隧道工具
• 執行客製化偵察批次腳本，例如 hp.bat、hpp.bat 及相關封存腳本

這意味著組織應監控以下行為：

• 受信任的可執行檔載入非預期的並列 DLL，尤其是 python20.dll
• 偽裝成常見服務的 FRP 或其他可疑反向代理執行檔
• 涉及偵察、封存及編碼輸出的命令列活動

此緩解措施涵蓋的範疇包括：

• 端點偵測與回應（EDR）政策
• 應用程式控制設定
• 命令列日誌記錄
• Windows 程序建立監控
• Linux 程序與網路遙測

4.       強化憑證與特權存取管理

此次事件的重大環節涉及憑證竊取。攻擊者使用了 Mimikatz、LsaRecorder、DumpIt、Volatility、登錄檔 Web Shell 轉儲，以及從 PuTTY、WinSCP、RDP 用戶端、VNC 工具及 SQL Server Management Studio 等工具竊取連線歷史記錄與已儲存的憑證。

組織應採取以下回應措施：

• 限制系統管理權限，將管理員帳號與日常使用帳號分離
• 強化 LSASS 保護並監控對其的存取
• 針對以下行為啟用告警：
   
  • reg save HKLM\SAM
   
  • reg save HKLM\SYSTEM
   
  • 記憶體轉儲工具的執行
   
  • 對 sqlstudio.bin 的可疑存取
• 審查憑證以明文或可還原形式儲存的位置
• 若懷疑遭到入侵，立即輪換密碼與密鑰
• 對系統管理存取、遠端存取及特權管理介面強制要求多因素驗證（MFA）

上述措施將影響的範疇包括：

• 網域與本地系統管理員工作流程
• SQL 系統管理實務
• 遠端管理工具
• 服務帳號管理
• 憑證儲存政策

5.       強化遠端存取控管

攻擊者被觀察到透過停用網路層驗證（NLA）削弱 RDP 安全性，並從RDP、PuTTY、RealVNC 及 TightVNC 蒐集遠端存取相關資料。為降低此風險，組織應：

• 強制執行安全的 RDP 設定，並防止 NLA 遭到停用
• 將 RDP 存取限制於受信任的管理網路或僅允許透過 VPN 存取
• 稽核遠端管理工具的使用情況，並移除未經授權的工具
• 監控影響終端服務與遠端存取設定的登錄檔異動
• 審查管理員工作站上已儲存的連線歷史記錄與憑證

此範疇直接影響：

• RDP 設定
• 遠端桌面工具
• 跳板主機與堡壘機系統
• 管理員端點設定

6.       限制橫向移動與內部探索

攻擊者對主機與網路進行了大規模探索、掃描內部系統，並橫向移動至 SQL 伺服器及其他主機。防禦者應透過以下措施降低橫向移動的便利性：

• 對網頁伺服器、應用程式伺服器、SQL 伺服器及管理系統進行網路分段
• 將東西向連線限制於業務上確實必要的範圍
• 監控異常的內部掃描、連接埠探索及漏洞掃描行為
• 在可行的情況下，限制管理共用與遠端執行路徑
• 審查網頁伺服器與後端資料庫之間的信任關係

上述緩解措施影響的範疇包括：

• 內部防火牆政策
• 網路分段設計
• 伺服器間通訊規則
• SQL 伺服器存取路徑

7.       偵測並阻斷隧道傳輸與異常對外流量

FRP 的使用是此次攻擊中關鍵的持久化與防火牆繞過機制。組織應透過以下措施識別並封鎖未經授權的隧道傳輸與反向代理行為：

• 監控對少見或低出現率的外部主機所發起的對外連線
• 偵測類 FRP 流量及可疑的反向代理
• 在伺服器上封鎖未經核准的隧道傳輸軟體
• 審查對外管制措施，確保網頁伺服器與應用程式伺服器無法自由建立任意的對外隧道

Linux 系統應獲得特別關注，因為報告強調了以下行為偵測的重要性：

• Linux 程序與少見外部主機之間的非常規通訊
• 對敏感檔案的非常規存取嘗試

此緩解措施涵蓋的範疇包括：

• 對外防火牆政策
• 代理與出口過濾
• Linux 網路監控
• 伺服器應用程式允許清單

8.       降低隱蔽外洩的機會

攻擊者採用了簡單卻具規避性的外洩方式：以 WinRAR 封存檔案、用 certutil -encode 進行編碼，再透過網頁木馬以 type 指令列印 Base64 輸出。組織應監控並限制此類行為模式，尤其針對通常不執行此類操作的伺服器。

高價值的偵測項目包括：

• rar.exe 或 WinRAR 對網頁檔案、文字輸出或資料庫相關內容進行封存
• certutil -encode 被用於封存檔、備份或憑證相關檔案
• 命令 Shell 列印大量 Base64 資料
• 對以下項目的存取：
   
  • web.config
   
  • appsettings.json
   
  • MSSQL .bak 檔案
   
  • 瀏覽器歷史記錄與書籤
   
  • XLSX 與 CSV 資料集合

此偵測對以下環境尤為相關：

• IIS 與應用程式伺服器
• SQL 伺服器
• 管理員工作站
• 存有業務敏感匯出資料的檔案伺服器

9.       提升可見性與鑑識整備度

由於攻擊者使用了以wevtutil 清除日誌等反鑑識技術，防禦者應迅速保全證據，並維持強健的遙測資料蒐集能力。建議採取以下措施：

• 啟用詳細的程序、命令列及網路日誌記錄
• 集中蒐集 Windows 與 Linux 的鑑識資料
• 針對日誌清除及 wevtutil 的可疑使用啟用告警
• 保留足夠長時間的端點遙測資料，以支援多階段入侵的調查
• 確保事件應變人員能夠迅速從可能遭入侵的主機擷取揮發性證據

此措施影響的範疇包括：

• SIEM 日誌保留設定
• 端點日誌記錄設定
• Windows 事件日誌政策
• Linux 稽核與 Shell 歷史記錄蒐集

10.    採用多層次安全控制

報告指出，當多個安全層次同時到位時，組織的防護能力將顯著提升。在實務層面，防禦者應結合以下措施：

• URL 與 DNS 保護，以封鎖已知的惡意目標
• 網路威脅防禦，以偵測漏洞利用與惡意程式投遞活動
• 針對可疑執行檔與載入器的沙箱分析或惡意程式分析
• 適用於 Windows 與 Linux 的端點偵測與分析
• 攻擊面管理，以識別暴露在外的關鍵服務

這些控制措施並不能保證完全防範入侵，但能實質提升更早偵測到入侵、限制持久化，以及降低資料損失的機會。

受影響產業的緩解優先事項

對於航空、能源、政府、執法機關、製藥、科技及電信領域的組織而言，最重要的立即行動如下：

1. 修補並審查公開面向的網頁伺服器及 VMware vCenter 的暴露情況。
2. 主動排查 IIS 與 Linux 網頁目錄中的網頁木馬及可疑檔案。
3. 監控 Python DLL 側載、FRP 部署及偵察批次腳本的執行情況。
4. 保護憑證，並調查任何憑證轉儲、登錄檔 Web Shell 竊取或 SSMS 憑證提取的跡象。
5. 強制執行嚴格的 RDP 與遠端管理設定。
6. 隔離關鍵系統，並檢查異常的東西向流量。
7. 偵測異常的封存、編碼及以文字為基礎的外洩行為。
8. 強化 Linux 與 Windows 的行為監控，聚焦於少見的對外通訊及敏感檔案存取。

總而言之，針對此次事件的最佳緩解策略，是修補、攻擊面縮減、憑證保護、網路分段與以行為為基礎的監控之綜合運用。此策略之所以不可或缺，正是因為該威脅行為者的攻擊手法，刻意設計為融入正常的系統管理行為之中，得以長期潛伏而不被察覺。

4. 參考資料

•         An Investigation Into Years of Undetected Operations Targeting High-Value Sectors

•         東亞、南亞地區高價值產業被鎖定，中國駭客 CL-UNK-1068 從事網路間諜活動長達 6 年

•         CVE-2023-34048 Detail

•         CL-STA-0048: An Espionage Operation Against High-Value Targets in South Asia

•         ChineseThreat Group CL-UNK-1068 Targets Critical Infrastructure Across Asia in Years-Long Campaign

‍

‍