【精選威脅情資】隱匿在 Linux 核心的「影子」：全球政府機構面臨的高隱蔽資安威脅

‍

危害與影響

「影子行動」（Shadow Campaigns）是一場大規模的網路間諜行動，由駭客組織 TGR-STA-1030（又稱 UNC6619） 發起。根據高信度評估，該組織具備政府背景，且營運基地點位於亞洲。Unit42 的調查顯示 TGR-STA-1030 組織至少自 2024 年 1 月起便開始活躍，進入 2025 年後，隨著技術更趨成熟且範圍擴張，其攻擊幅度明顯增加。

‍

分析師觀點

在不同地區的攻擊行動共通點是：攻擊的目標與時機通常與現實世界的政經事件（如選舉、外交、貿易及能源爭議等）緊密掛鉤。這進一步證實了此行動旨在支持國家利益，也使得「影子行動」對公部門與關鍵基礎設施組織而言格外令人擔憂：此行動是全球性、長期潛伏且鎖定特定戰略情報的專業威脅，而非一般的隨機網路犯罪。

‍

描述

過去一年中，TGR-STA-1030 已從入侵事件個案，演變為針對全球政府部門與關鍵基礎設施的持續性威脅。此行動結合了以下手段：

• 針對政府人員的定向釣魚攻擊（特別是在 2025 年初）：利用極具說服力的「部會／部門改組」作為誘餌，透過託管於合法平台的壓縮檔連結來植入惡意軟體。
• 隨機利用已知漏洞：針對廣泛部署於企業與政府技術中的已知漏洞進行攻擊（目前尚未觀察到零日漏洞），使攻擊者能大規模獲取初始存取權限。
• 在受害環境中長期潛伏：潛伏期往往長達數月，並利用常見的後入侵工具組（如C2 架構、Web Shell、隧道技術）維持控制。在至少一個案例中，攻擊者使用了 Linux 核心層級的 eBPF Rootkit 來達成極高的隱蔽性。

此行動最令人震驚的是其波及範圍之廣：

• 橫跨 37 個國家，受駭組織至少約 70 家。
• 在短短兩個月（2025 年 11 月至 12 月）內，針對 155 個國家的政府基礎設施進行主動偵察，顯示這是有系統的目標開發，而非隨機掃描。
• 如此廣泛的覆蓋率意味著全球大部分的公部門在一年內都曾面臨確定的入侵活動或定向探測。未修補的漏洞與暴露的服務皆為破口，一旦被攻擊者發現，隨之而來的後續攻擊與受駭風險將會大幅增加。

受影響產業與機構

雖然政府單位是主要目標，但受害者範圍也擴及支持國家運作與策略性經濟優先事項的部門，包括：

• 政府部會與機關，特別是與以下職能相關者：
  
  • 內政、外交、財政、司法
  • 經貿、移民
  • 自然資源（採礦、能源）
• 國家安全與執法單位，包括警察、邊境管制、反恐單位
• 關鍵基礎設施，包括國家級電信供應商
• 具策略相關性的特定私營組織，例如：
  
  • 航空公司
  • 小額貸款、金融服務供應商
  • 參與能源基礎建設項目的電力設備供應商

影響評估

由於此行動以間諜活動為核心，最嚴重的影響並非立即財務損失，而是策略與營運面的損害，包括：

• 國家安全暴露：獲取執法、邊境管制、反恐及議會環境的存取權，可能導致敏感行動、內部調查與決策過程外洩。
• 外交與政策情資流失：針對外交、移民與經貿機構的攻擊，可讓攻擊者掌握談判進度、外交立場、制裁或關稅規劃以及國際合作夥伴關係。
• 經濟與資源情資竊取：對採礦、稀土與能源產業的持續關注，顯示其意圖竊取合約、投資計畫、監管決策與供應鏈策略，這些資訊足以改變競爭優勢與地緣政治籌碼。
• 基本服務與公眾信任風險：即便攻擊者的初衷「僅是」蒐集情資，電信與關鍵基礎設施受駭，會對服務可用性、合法監聽系統以及國家整體的韌性造成後續風險。
• 長期潛伏與再次入侵風險：攻擊者能維持數月的存取權，甚至在被阻斷後重新獲取權限，這顯示除非徹底根除存取路徑與潛伏機制，否則受害者可能面臨週期性的入侵威脅。

‍

技術分析

TGR-STA-1030 的影子行動結合了兩種主要的入侵路徑：魚叉式網路釣魚（Spearphishing），以及針對對外服務系統的隨機漏洞利用。在技術上，最顯著的差異來自使用 ShadowGuard 工具，這是一個 Linux eBPF 核心層級的 Rootkit，透過操控作業系統回報給使用者空間（User-space）工具的資訊來達成隱蔽目的。在營運方面，該攻擊者還投入資源建立了多層級基礎設施（包括面向受害者的 VPS、中繼站與代理層），以增加追蹤與拆解的難度。

偵察 (Reconnaissance)

• 全球規模的定向掃描：在 2025 年 11 月至 12 月期間，攻擊者針對 155 個國家的政府基礎設施進行主動偵察，其特點是精確鎖定政府網路，而非無差別的 IPv4 全網掃描。
• 事件驅動型探測：掃描活動通常在地緣政治事件發生時激增（例如：針對宏都拉斯政府 IP 區段的大規模爆發於宏都拉斯總統大選前 30 天，當兩位候選人都表示有意與台灣恢復外交關係時；或當委內瑞拉總統遭到美軍抓捕當天，便對委內瑞拉政府持有 IP 進行廣泛探測）。
• 超越 HTTP/S 的服務級探測：偵察活動包含嘗試連線至政府系統的 SSH（Port 22），如澳洲財政部、阿富汗財政部、尼泊爾總理辦公室等，顯示其對直接遠端管理介面（而非僅是 Web 應用程式）具備高度興趣。

資源開發 (Resource Development)

• C2 與攻擊目標網域：攻擊者註冊並使用了大量網域，主要分布在 .me、.live、.help、.tech（例如 gouvn[.]me、dog3rj[.]tech、zamstats[.]me），用於支持 C2 命令控制與面向受害者的行動。
• 租用其他法治國家的 VPS 基礎設施：面向受害者的 C2 伺服器經常代管於法治國家（特別是美國、英國與新加坡）的 VPS 供應商，藉此混入正常流量並增加法律執行的難度。
• 多層級存取鏈：攻擊者增加了中繼 VPS 節點（通常使用 Port 22 SSH 或高連接埠，有時使用 RDP/3389），並透過代理服務（如 DataImpulse 住宅代理，後期使用 Tor）存取這些中繼站。
• 關聯各層級的營運軌跡：攻擊者曾犯下一個顯著錯誤，即一個 X.509 憑證（CN 為 gouvn[.]me）出現在攻擊者區域內的騰訊伺服器上，這顯示即使 DNS 尚未指向該處，後台已在處理或轉移基礎設施素材。

初始存取 (Initial Access)

• 透過 MEGA 進行魚叉式釣魚（2025 年初的模式）：
  
  • 郵件誘餌：政府收件者收到以「部會／部門改組」為主題的郵件。
  • Payload 投遞：郵件連結導向 MEGA 下載頁面，通常是一個針對目標部會或國家進行在地化命名的 ZIP 壓縮檔。
  • ZIP 內容：包含一個與誘餌名稱相符的惡意執行檔，以及一個 0 位元組的 pic1.png 檔案（作為執行前提條件）。
• 漏洞利用對外服務系統（比例隨時間增加）：
  
  • 該組織嘗試了大量的已知漏洞，涵蓋常見的企業與政府技術堆疊（如 Exchange RCE、Struts2 OGNL RCE、SQL注入、OA 辦公自動化平台）。
  • 具體案例：針對電子護照／電子簽證服務利用 Atlassian Crowd 漏洞（CVE-2019-11580），上傳名為 rce.jar 的 payload 以達成遠端程式碼執行。

執行 (Execution)

• Diaoyu Loader 執行：執行釣魚郵件中惡意執行檔（原始檔名為 DiaoYu.exe）的受害者會觸發該載入器的分階段行為。
  
  • Diaoyu 本身是「釣魚」的拼音，暗示了攻擊者的所在地。
  • 釣魚郵件中的壓縮檔，除了惡意執行檔以外，還包含一個 0 位元的 pic1.png 檔案。在執行檔被執行後，會先檢查螢幕解析度是否大於等於 1440，並確保 pic1.png 檔案存在。這是一種檢查環境以避免執行檔在分析環境中執行惡意操作的技巧（研究員可能會忽略 pic1.png，只把執行檔送進分析環境）。
• 漏洞觸發執行：在漏洞利用成功的案例中，透過上傳的 payload（如 rce.jar）達成遠端程式碼執行。
• 執行後入侵工具：攻擊者執行 C2 架構（初期為 Cobalt Strike，後期轉向 VShell 等）、部署 Web Shell，並在部分 Linux 環境中執行 ShadowGuard Rootkit。

持久化 (Persistence)

• 伺服器上的 Web Shell：攻擊者頻繁在對外與內網 Web 伺服器部署 Behinder（冰蠍）、Neo-reGeorg 與 Godzilla（哥吉拉），作為穩固的再次進入點。
• 長期潛伏 C2 後門：早期行動多使用 Cobalt Strike，目前首選架構轉向 VShell。
• 隧道技術維持連通性：利用 GOST、FRPS 與 IOX 等工具維持進入隔離網路的可靠路徑，確保邊界防護條件改變後也能保持存取。
• Linux 核心級隱身能力：ShadowGuard 的核心空間隱藏功能，透過降低防禦者偵測與移除攻擊者程序或檔案的機率，實現長期持久化。

權限提升 (Privilege Escalation)

• 漏洞驅動的提權嘗試：曾觀察到攻擊者嘗試利用 SAP SolutionManager 的提權漏洞（來源未指定具體 CVE 或版本）。
• Linux 上的 Root 級操作：由於 ShadowGuard 需要 Root 權限並在核心環境運行，這意味著攻擊者若非事先取得 Root 權限，就是搭配了提權路徑來達到該權限等級，但目前參考資源中並無提權方式的詳細描述。

規避防禦 (Defense Evasion)

• Diaoyu Loader 執行防護機制（反沙箱／反分析）：
  
  • 該載入器使用雙重執行檢查，防止在自動化環境中觸發：
    
    • 螢幕檢查：要求水平解析度需大於等於 1440。
    • 檔案完整性／環境檢查：執行目錄中必須存在 pic1.png。
  • 若執行檔被單獨執行（沙箱常見情況），它會正常終止而不表現出任何惡意行為。
• 安全性產品偵測：載入器會檢查特定的防毒（AV）或資安程序：
  
  • 包含 Avp.exe (Kaspersky)、SentryEye.exe (Avira)、EPSecurityService.exe(Bitdefender)、SentinelUI.exe (SentinelOne)、NortonSecurity.exe (Symantec)。相關報告指出此清單異常精簡，原因不明。
• 混淆與隱身工具：
  
  • Godzilla Web Shell 混淆：攻擊者有時使用 Tas9er 代碼混淆 Godzilla（如修改函數／字串），以規避特徵碼偵測。
  • 核心級規避 (ShadowGuard)：ShadowGuard 是一個運行於 BPF 虛擬機內的 eBPF Rootkit（非傳統的可載入模組），使其能篡改使用者空間監控工具所看到的數據。
• 基礎設施規避：透過「代理 → 中繼站 → 面向受害者的 VPS」流程掩蓋攻擊者來源；當隧道失效時，偶爾出現來自 AS9808 的直接連線暴露了其區域關聯性。

資料收集 (Collection)

報告提到的收集細節較為高層級，但一致的主題包括：

• 移民與經濟情資（如：馬來西亞部會／機關）。
• 貿易與國際經濟政策情資（如：墨西哥部會、泰國政府部門）。
• 國際發展情資（如：某歐洲財政部與歐盟相關利益事項）。
• 產業／工程與專案文件：特別提到台灣電力設備供應商發電專案的檔案。

命令與控制 (Command and Control)

• C2 架構演進：
  
  • 2024 年至 2025 年初：頻繁部署 Cobalt Strike（包含由 Diaoyu Loader 安裝的載荷）。
  • 後期轉型：轉為偏好使用 VShell；它是以 Go 語言編寫，經常透過有序的 5 位數臨時 TCP 連接埠暴露。
  • 觀察到的其他架構：Havoc、SparkRat、Sliver。
• Web Shell 作為替代 C2：Behinder/Neo-reGeorg/Godzilla透過 Web 伺服器提供命令執行管道。
• 隧道化的 C2 流量：使用 GOST/FRPS/IOX 承載各層基礎設施與受害者網路內的 C2 和操作員流量。
• 以網域為基礎的 C2：攻擊者控制的網域指向面向受害者的 VPS 節點，用以管理 Beacon 與遠端存取。

‍

緩解措施

針對 TGR-STA-1030 影子行動，有效的防護措施必須從縮減曝險、強化郵件與網頁進入點安全性，以及提升端點與伺服器的偵測與回應（EDR/SDR）著手，特別是面向外部的政府服務。

1. 優先進行損害控制與範圍界定（若懷疑受駭）

利用已公布的入侵指標（IoC，如網域、IP、Hash）在以下環境進行搜捕：

• DNS／代理伺服器（Proxy）日誌：檢查是否有對清單網域的查詢紀錄，或從報告中提及的 mega[.]nz 與 raw.githubusercontent[.]com 路徑下載檔案的行為。
• 防火牆／Netflow：檢查與可疑 VPS 主機及異常高連接埠（High ports）的連線。
• 端點遙測數據（Telemetry）：比對釣魚／下載器、Cobalt Strike、ShadowGuard及 Crowd 漏洞利用樣本的 SHA-256 特徵碼。
• 隔離受影響系統（特別是公用網頁伺服器與郵件伺服器），並保留證據以供鑑識調查。
• 尋求事件應變（IR）支援（報告指出 Unit 42 已通知受駭實體並提供協助）。
• 受影響最深的服務／設定：SOC 日誌紀錄與保留期限、DNS／Proxy可視性、伺服端點遙測覆蓋率（而非僅限於員工工作站）。

2. 降低釣魚成功率：郵件與網頁管控

此行動早期的存取依賴誘使收件者下載代管於 mega[.]nz 的 ZIP 壓縮檔，內含在地化檔名的執行檔（EXE）。

• 防護措施：
  
  • 加強 URL 與 DNS 過濾，封鎖已知的惡意網域及用於傳遞 payload 的可疑檔案代管平台模式。
  • 強化附件與連結處理：盡可能在沙箱環境中觸發並分析壓縮檔與附件；針對含有執行檔的壓縮檔（此行動常見的 ZIP 結構）進行封鎖或示警。
• 使用者端控制：
  
  • 針對經常被冒充的政府部門（如部會、邊境管制、財政、外交）進行定向反釣魚宣導訓練。
  • 針對「組織改組」或人事變動等訊息建立明確的驗證程序。
• 受影響最深的服務/設定：安全郵件閘道器（SEG）政策、網頁代理政策（mega[.]nz存取規則）、DNS 安全、沙箱模擬分析設定、資安意識培訓。

3. 修補與強化對外應用程式（最高優先級措施）

該組織明確利用已知漏洞，漏洞修補管理與縮減攻擊面是效益最高的控制措施。

• 防護措施：
  
  • 快速修補對外開放系統，特別關注報告中點名的產品（如 MicrosoftExchange、Atlassian Crowd、SAPSolution Manager、Struts2、Spring元件及各式網路／IT 設備）。
• 持續性的外部攻擊表面管理（EASM）：
  
  • 定期掃描組織擁有的公用 IP 區段，辨識具風險的軟體版本與暴露點。
  • 確認「被遺忘」的服務（舊版入口網站、管理介面）已被移除或更新。
• 針對特定漏洞的加固：
  
  • 針對 Atlassian Crowd 等系統，確保已修補 CVE-2019-11580，並檢查上傳路徑與日誌中是否有如 rce.jar 的異常軌跡。
• 受影響最深的服務／設定：漏洞管理 SLA、變更管理、外部掃描、WAF／IPS虛擬補丁態勢、公用服務權責管理（含電子簽證／護照入口網站）。

4. 最小化暴露的管理存取權並強制執行強認證

攻擊者的偵察包含對SSH（Port 22）的嘗試，並利用配置了 SSH 或 RDP（3389）的中繼站。

• 防護措施：
  
  • 限制 SSH/RDP 與管理介面：盡可能將其從網際網路移除，改由 VPN、堡壘主機或專用管理網路進行連線許可。
  • 針對所有遠端管理與特權存取強制執行多因素驗證（MFA）。
  • 實施網路分段，防止單一伺服器（如網頁入口網站）受駭後導致攻擊者橫向移動至敏感的內部網路。
• 受影響最深的服務／設定：防火牆規則、遠端存取架構、特權存取管理（PAM）、DMZ 與內網間的隔離。

5. 偵測並阻斷入侵後工具（Web Shell、隧道、C2）

一旦進入內網，TGR-STA-1030常使用 Web Shell（冰蠍、Neo-reGeorg、哥吉拉）、隧道工具（GOST、FRPS、IOX）及 C2 架構（如 Cobalt Strike 與後來的 VShell）。

• 防護措施：
  
  • 網頁伺服器監控與 WAF 控制：針對網頁根目錄的異常檔案寫入、可疑的新端點以及 Web Shell 典型的異常 POST 模式進行告警。
• 出站流量控制（Egress Controls）：
  
  • 限制伺服器的對外連線（特別是 DMZ 系統），僅允許必要流量。
  • 針對異常的對外連線目標與非預期的隧道行為進行告警或封鎖。
• 網路偵測：
  
  • 監控是否有新的服務監聽有序的 5 位數高連接埠（這是 VShell 的特徵）。
  • 偵測已知的 C2 架構並封鎖惡意的基礎設施。
• 受影響最深的服務／設定：WAF 規則、伺服器檔案完整性監控（FIM）、出站防火牆許可清單、IDS／IPS 特徵碼、NDR／Netflow 分析。

6. 強化 Linux 防禦以對抗核心級隱身（ShadowGuardeBPF Rootkit）

ShadowGuard 是一種基於 eBPF 的 Linux 核心 Rootkit，用於隱藏程序與檔案（特別是檔名含 swsecret 者），並透過異常的 kill -900/-901 訊號進行控制。由於 eBPF Rootkit 運行於核心空間，傳統的使用者空間監控工具可能失效。

• 防護措施：
  
  • 嚴格的權限管控：減少並監控 Linux 伺服器中可取得 Root 權限的對象與行為。
  • 實施核心完整性與 eBPF 監控（著重偵測異常的 eBPF 程式活動與 Tracepoint 調用）。
• 搜捕攻擊手法指標（Tradecraft Indicators）：
  
  • 檢查是否有建立或使用名為 swsecret* 的檔案或目錄。
  • 從中央集權式日誌（較難被篡改）中檢查是否有使用負值訊號（如 -900,-901）的異常 kill 指令。
• 受影響最深的服務／設定：Linux 強化基準、特權存取、核心／審計遙測、中央日誌架構。

7. 落實情資共享與多層次安全控制

• 定期將 IoC 匯入 SIEM／SOAR、DNS、Proxy、防火牆及 EDR 封鎖清單。
• 採用涵蓋網頁、DNS、網路漏洞防護及端點行為防護的多層次防禦，以降低對單一控制措施的依賴（因為攻擊基礎設施會不斷輪換）。
• 受影響最深的服務／設定：威脅情資平台（TIP）、SIEM／SOAR 自動化、封鎖清單管理機制、跨產業聯防流程。

‍

參考資料

•         國家級駭客鎖定關鍵基礎設施從事大規模網路間諜活動 Shadow Campaigns，範圍涵蓋全球 155 個國家

•         TGR-STA-1030: Global State-Aligned Cyber Espionage Campaign

•         Shadow Campaigns compromised 70 organizations across 37 countries

•         Unit 42 identifies TGR-STA-1030 cyber espionage grouptargeting critical infrastructure, government networks

•         State actor targets 155 countries in ‘ShadowCampaigns’ espionage op