警惕新型木马：黑客伪装苹果与雅虎CDN域名的攻击手法深度解析

网络安全公司Darktrace近日披露了一项针对亚太地区的持续性高级威胁活动。攻击者构建了一套仿冒苹果与雅虎的CDN基础设施作为攻击跳板，其隐蔽性令人警醒。

CDN本质是提升网站性能的合法服务。攻击者此举旨在欺骗安全设备，将恶意流量伪装成源自苹果或雅虎等可信服务的正常通信，从而轻易突破网络边界防护。

攻击执行过程极具欺骗性。攻击者注册了yahoo-cdn.it.com、icloud-cdn.net等高度仿冒域名。受害系统会首先从这些域名下载一个无害的合法可执行文件，随后才获取配置文件与隐藏恶意代码的DLL。这种分阶段载荷投递策略，有效规避了基于静态哈希或单一文件签名的传统检测机制。

在代码执行环节，攻击链大量采用DLL侧载技术。恶意DLL被伪装成Windows合法程序所需的组件，利用系统对可信进程的加载信任，在诸如dfsvc.exe、vshost.exe等Microsoft .NET与Visual Studio相关进程的掩护下运行。

在另一条入侵路径中，攻击者甚至劫持了搜狗拼音输入法。通过准备一个名为browser_host.dll的恶意DLL，在输入法进程启动时被加载，进而将代码注入可信进程，实现执行流劫持。

最终植入的后门由增强版FDMTP框架驱动。该木马具备加密通信、插件化扩展、通过注册表及计划任务实现持久化、系统信息收集等完整功能，并建立了基于DMTP协议的隐蔽C2通道。初始注册通过/GetCluster端点完成。

从运行时字符串解密、AES加密的载荷分发到多种执行回退机制，整个攻击链展现出高度的复杂性与成熟度，其设计目标明确指向长期隐蔽驻留。

Darktrace溯源分析显示，该活动最早可追溯至2025年9月底，并以中等置信度与名为Twill Typhoon的威胁组织关联。普通个人用户受直接影响风险较低，但企业及开发团队需提升供应链安全意识，强化网络流量分析与异常行为监测，并部署多因素认证等纵深防御措施。