据三六零（601360）消息，近期，360高级威胁研究院捕获并披露了疑似具有国家背景的APT-C-13（Sandworm）组织利用SSH与TOR嵌套隧道技术实施的定向攻击活动。该攻击通过鱼叉邮件投递恶意压缩包，在受害主机上构建双重加密的匿名通信链路，以实现隐蔽持久化控制和敏感信息窃取。

一、攻击流程分析

APT-C-13组织通过鱼叉邮件投递携带恶意LNK文件的ZIP压缩包。用户执行后，LNK文件会搜索并解压恶意载荷，随后运行主控脚本创建两个计划任务，分别用于启动TOR服务和SSH服务，从而构建复杂的匿名通信链路。TOR任务将受害机本地关键服务端口映射至暗网Onion域名，使攻击者可通过Tor节点直连内网；SSH任务则在Tor隧道内部署轻量化SSH服务端，形成兼具强加密与权限控制的隐蔽远程管理通道。

二、载荷投递分析

以捕获的样本“Iskhod_7582_Predstavlenie_na_naznachenie.zip”为例，其包含一个伪装成PDF文档的LNK文件和一个伪装成系统回收站的文件夹。LNK文件执行后，会释放多个恶意组件并最终执行一个作为PowerShell指令的恶意脚本。

释放的恶意文件主要分为三类：

1. 核心控制与启动文件：包括主控脚本、诱饵PDF文档以及用于注册SSH和TOR计划任务的XML配置文件。

2. 伪装的服务端程序：将Tor服务端、SSH服务端、流量混淆插件等恶意程序伪装成Dropbox、Opera GX浏览器、Safari等合法软件进程。

3. 配置文件与密钥：包括SSH和Tor的配置文件，以及用于身份认证的公私钥文件。

三、攻击组件分析

1. 主控脚本分析

主控脚本首先进行沙箱及虚拟机环境检测，通过后即展示诱饵PDF文档以转移受害者注意力，并清除自身痕迹。随后，脚本通过修改XML模板注册两个实现开机自启的计划任务。最后，脚本通过Tor代理将受害者的上线信息发送至暗网C2地址，完成攻击闭环。

2. 计划任务分析

创建的两个计划任务（OperagxRepairTask和DropboxRepairTask）在用户登录时触发，并配置了隐蔽性设置，确保恶意进程在后台持久化运行。任务启动伪装成合法软件的恶意程序，并加载特定配置文件。

3. SSH与TOR配置文件分析

SSH服务端配置将服务绑定在本地回环地址的高位端口，仅接受来自Tor隧道的流量，并禁用密码登录，仅允许持有特定私钥的攻击者访问。Tor配置文件则将本地的SSH、SMB、RDP等敏感服务端口映射至暗网，使攻击者能匿名访问。

四、逃避与混淆技术

攻击采用obfs4混淆协议对Tor流量进行伪装，将其重塑为看似随机的TCP数据流，以绕过防火墙和深度包检测系统的审计，确保控制通道的隐蔽和畅通。

五、归属研判

根据样本的伪装手法、攻击模式（特别是“双层嵌套匿名隧道”架构）、技术细节与历史攻击的相似性，以及样本来源和诱饵内容等线索综合研判，本次活动归属于APT-C-13（Sandworm）组织的可信度较高。

此次攻击活动展现了该组织在隐匿通信与持久化战术上的显著升级，其通过流量混淆和嵌套隧道技术，实现了对受害主机内网服务的匿名化远程控制，对传统边界防御模型构成严重挑战。

原文：疑似APT-C-13（Sandworm）组织利用SSH+TOR隧道实现隐蔽持久化的攻击活动分析（来源：三六零（601360））