文/張明德|2026-05-11發表
資安業者360揭露俄羅斯駭客Sandworm(APT-C-13)近期攻擊動向,警示該組織採用SSH-over-Tor技術建立隱蔽的遠端存取通道,以提升長期潛伏與存取能力。
依據360的研究團隊觀察,這波攻擊是以針對特定對象的魚叉式網路釣魚(Spear Phishing)為起點,誘使受害者開啟偽裝成PDF檔案的LNK捷徑檔,進而透過PowerShell指令下載惡意程式,並假冒合法應用程式的排程工作,在受害系統上建立持久的存取能力。攻擊的核心在於採用SSH-over-Tor架構,將SSH遠端連線透過Tor匿名網路進行多層節點轉送,從而建立隱蔽的遠端存取通道,還搭配obfs4混淆協定,將Tor流量偽裝為一般TCP流量,藉此繞過防火牆保護,降低遭到偵測的機率。
研究團隊指出,這波攻擊顯示駭客組織正持續強化隱蔽通訊與持久化滲透技術,企業除需強化釣魚郵件防護外,也應監控異常Tor流量與SSH連線,以降低遭滲透風險。
線