回到上一頁

中國駭客武器進化:驅動級後門隱匿攻台

2026-06-17
針對政府機關的跨國網路間諜活動近期出現重大技術升級。根據最新揭露的資安威脅報告,具有中國國家背景的駭客組織「FishMonger」(在資安界亦被追蹤為 Earth Lusca 或 Aquatic Panda)已大幅擴張其網路武器庫,成功將原本專攻 Linux 系統的後門程式「SprySOCKS」移植並升級為 Windows 變種版本。新變種濫用了作業系統底層的核心驅動程式(Kernel Drivers)來進行深度隱匿,不僅能輕易癱瘓多數端點防護系統,更已於 2023 年至 2024 年間被實際投入戰場,針對包含台灣、宏都拉斯、泰國與巴基斯坦在內的多國政府機構發動了無聲的針對性攻擊。此次攻擊行動再次凸顯了核心層級惡意軟體對現代企業與國家資安架構的毀滅性威脅。
 

駭客背景:與「安洵信息」密不可分的間諜行動

要了解此次攻擊的嚴重性,必須先回顧幕後黑手的背景。FishMonger 是一個高度活躍的進階持續性威脅(APT)組織。在 2024 年震驚全球的中國資安公司「安洵信息(i-Soon)」內部文件外洩事件中,多項證據皆將 FishMonger 的網路間諜活動與這家代表中國政府執行海外網路行動的私人企業緊密連結。
 
SprySOCKS 最初是在 2023 年被資安界發現,當時它純粹是一款針對 Linux 伺服器的惡意後門,由 FishMonger 廣泛運用於基礎設施滲透。然而,資安大廠 ESET 的研究團隊最近在惡意軟體分析平台 VirusTotal 上,首度攔截到尚未被公開紀錄的 Windows 版 SprySOCKS 樣本。經過深度的遙測數據(Telemetry)回溯分析,研究人員驚訝地發現,這個 Windows 變種其實早在過去一年間就已經悄悄在真實的受害環境中運作,而台灣的公部門正是其首要的標靶之一。
 

技術剖析:WIN_DRV 與核心驅動程式的深度隱匿

根據 ESET 釋出的技術報告,研究人員在調查過程中辨識出兩種不同的 Windows 變種,內部代號分別為 WIN_DRVWIN_PLUS。這兩個版本皆承襲了早期 Linux 版本的核心通訊邏輯與指令集,但其中又以 WIN_DRV 展現出了極高的威脅性,因為它採用了「進階隱匿(Advanced Stealthiness)」技術,直接將惡意程式碼植入 Windows 的心臟地帶——系統核心(Kernel)。
 
在 WIN_DRV 的攻擊鏈中,駭客使用了兩個經過加密的自訂核心驅動程式:
  1. DriverLoader (fsdiskbit.sys): 這個驅動程式由 SprySOCKS 的前置載入器(Loader)觸發,其存在的唯一目的,就是繞過作業系統的安全檢查,將第二個核心驅動程式直接掛載(Load)到受害系統的記憶體深處。
  2. RawWNPF: 這是負責執行隱匿任務的真正主力。一旦成功載入,RawWNPF 會透過自訂的輸入/輸出控制碼(IOCTLs)接受遠端指令。由於它具備 Windows 核心的最高特權存取權限,駭客可以輕易地從底層「強制終止(Kill)」任何防毒軟體或端點偵測與回應(EDR)系統的程序。
 
除了直接破壞資安軟體外,RawWNPF 更展現了極為細膩的「欺敵」技術。它會攔截(Hooking)Windows 系統呼叫中的關鍵應用程式介面(API),例如 NtQuerySystemInformation。當系統管理員或防護軟體試圖查詢目前正在執行的程序列表時,「如果該 API 檢索到的任何程序與驅動程式內部設定的『隱藏清單』相符,驅動程式就會在底層直接將這些程序從輸出的結果中抹除。」ESET 研究人員在報告中如此描述。這意味著,駭客的後門程序在工作管理員或傳統的系統監控工具中將完全「隱形」。
 

憑證濫用與 UEFI 啟動套件的潛在威脅

資安防護系統通常會透過檢查數位簽章(Digital Signature)來判斷驅動程式的合法性。然而,報告指出,DriverLoader 所使用的數位簽章憑證,竟是源自於開源專案「PastDSE」在 GitHub 上意外洩漏的合法憑證。
 
儘管現代作業系統的安全機制日趨嚴格,但 ESET 資深惡意軟體研究員 Martin Smolár 指出,這張被洩漏的憑證依然允許驅動程式在「部分過時或設定不當的系統」上成功載入。Smolár 強調:「攻擊者沒有選擇消耗珍貴的零日漏洞(Zero-day),而是利用這個『廉價但有效』的方法,因為對受害者來說已經足夠致命。」目前尚不清楚該憑證已在網路上暴露了多久,但據悉相關單位至今尚未將其徹底撤銷。
 
在入侵管道方面,雖然目前無法百分之百確認 FishMonger 最初是如何突破受害機關的網路邊界,但從部分受害設備為伺服器作業系統來看,專家推測駭客極可能是利用了對外公開的應用程式或伺服器中尚未修補的已知漏洞(N-day vulnerabilities)來取得初始立足點。
 
更令人擔憂的是,ESET 的遙測數據顯示了「有限但明確的跡象」,表明近期的部分 SprySOCKS 攻擊事件中,駭客可能動用了 UEFI 啟動套件(Bootkit)元件。這暗示攻擊者極可能試圖開採 CVE-2023-24932(Windows 安全開機功能繞過漏洞)。一旦 UEFI 遭到感染,惡意軟體將會在作業系統載入之前就率先啟動,這使得單純的重灌系統或格式化硬碟都無法徹底根除威脅。
 

企業防護建議:落實核心防護與零信任架構

Windows 版 SprySOCKS 的出現,標誌著 FishMonger 在跨平台攻擊能力上達到了全新的里程碑。傳統的安全防護思維已無法有效抵禦這種直接在核心層級運作的幽靈威脅。
 
針對此次事件,資安專家與 ESET 研究團隊向台灣及全球的企業組織提出了以下關鍵的防禦建議:
  1. 強制啟用 HVCI: 企業應立即在所有端點設備上啟用 Windows 內建的「虛擬化安全性(VBS)」以及「超管理器強制的程式碼完整性(HVCI)」。這項功能可以有效阻擋未經授權或帶有惡意/已撤銷簽章的驅動程式被載入到系統核心中,是防範核心級 Rootkit 的最有效手段之一。
  2. 修補對外伺服器漏洞: 鑑於 FishMonger 習慣利用未修補的邊界設備作為跳板,企業必須落實嚴格的修補程式管理(Patch Management),特別是針對 VPN、郵件伺服器及 Web 應用程式。
  3. 實施 UEFI 韌體監控: 針對 CVE-2023-24932 等底層漏洞,IT 團隊應確保伺服器與主機的 BIOS/UEFI 韌體隨時保持在最新版本,並啟用並強制執行「安全開機(Secure Boot)」機制,同時監控任何異常的開機磁區修改行為。
  4. 追蹤威脅情資與 IoC: 企業的資安維運中心(SOC)應立即將官方釋出的妥協指標(Indicators of Compromise, IoCs),包含惡意檔案的 Hash 值、驅動程式名稱及硬編碼的 C&C 伺服器 IP 位址,全面匯入網路防禦與 SIEM 系統中進行歷史日誌的比對與即時攔截。
 
面對國家級駭客不斷進化的攻擊手法,台灣身為地緣政治的敏感熱區,政府機關與關鍵基礎設施營運者必須時刻保持最高警戒,拋棄單點防禦的迷思,全面擁抱縱深防禦與零信任(Zero Trust)架構,才能在看不見的網路煙硝中確保資訊的絕對安全。

引用來源

  • 《Dark Reading》產業報導,資深新聞總監 Rob Wright 於 2026 年 6 月 17 日發布之文章《SprySOCKS Windows Variant Abuses Kernel Drivers to Evade Detection》。
  • 網頁搜尋: ESET WeLiveSecurity 官方威脅研究報告《FishMonger's arsenal upgraded: SprySOCKS for Windows》,提供針對 WIN_DRV 與 WIN_PLUS 之詳細技術逆向分析及官方 IoC 清單。官方連結
  • 網頁搜尋: NVD 國家弱點資料庫 (CVE-2023-24932),涵蓋 Windows 系統安全開機功能繞過漏洞之技術細節與嚴重性評分。官方連結