文章总结： 沙虫组织(Sandworm)近期利用SSH与Tor嵌套隧道技术，通过鱼叉邮件传播伪装成PDF的LNK文件，部署双层匿名隧道实现持久隐藏访问。该技术将本地SMB、RDP端口映射至暗网，利用obfs4流量混淆绕过检测，通过计划任务维持SSH守护进程与Tor服务器的隐蔽运行，使攻击者能绕过防火墙进行远程控制与数据窃取。 综合评分： 85 文章分类： 恶意软件,威胁情报,红队,内网渗透,漏洞分析

新型沙虫通信技术利用Tor隧道进行SSH远程访问

Khan安全团队

2026年4月29日 19:09 海南

在小说阅读器读本章

去阅读

一个名为 Sandworm（也被称为 APT-C-13 和 FROZENBARENTS）的国家支持的威胁组织发起了一场有针对性的网络攻击活动，该活动结合了 SSH 和 Tor 隧道技术，以在受害者网络中保持长期的隐藏访问权限。

此次攻击活动标志着该组织入侵策略的明显升级，从简单的恶意软件回调转向了完全匿名、加密的远程控制系统，该系统能够在企业防火墙后悄无声息地运行。

该组织至少从 2014 年起就十分活跃，主要目标是政府机构、外交部门、能源公司和研究机构，以窃取政治、军事和技术情报。

在最近的这次攻击活动中，攻击者改进了他们的攻击方法，部署了双层匿名隧道，旨在融入正常的网络流量中。

感染始于一封带有 ZIP 压缩文件的鱼叉式网络钓鱼电子邮件，一旦打开，该文件就会悄无声息地安装恶意工具，同时显示一个看起来很合法的诱饵文档，使受害者浑然不觉。

360 高级威胁研究所的研究人员发现了与此次攻击活动相关的多个恶意样本，并指出该组织使用 SSH 和 Tor 嵌套隧道在攻击者和受感染主机之间建立双重加密的匿名通道。

这种架构使攻击者能够不受限制地访问受害者系统，从而提取敏感数据，而不会触发标准流量检查工具或引起网络监控系统的警报。

攻击样本以名为 Iskhod_7582_Predstavlenie_na_naznachenie.zip 的 ZIP 压缩包形式提供，其 MD5 哈希值为 2156c270ffe8e4b23b67efed191b9737。

在这个压缩包中，该组织隐藏了一个伪装成 PDF 文档的恶意 LNK 快捷方式，以及一个名为 $RECYCLE.BIN 的虚假文件夹，该文件夹旨在模仿 Windows 回收站目录。

一旦受害者点击了 LNK 文件，完整的攻击工具包就会在后台静默部署，同时打开真正的诱饵 PDF 文件，以分散用户的注意力，防止其被安装。

此次攻击的总体影响十分严重。一旦工具包部署到位，攻击者便能持续控制受害者的内部网络，并能够横向移动、访问敏感文件以及操作远程桌面。

包括 SMB 端口 445 和 RDP 端口 3389 在内的关键本地端口被映射到暗网洋葱地址，使攻击者能够通过 Tor 网络从世界任何地方连接，绕过所有入站防火墙保护。

Sandworm 如何实现持久隐藏访问

此次攻击活动中，技术上最值得关注的部分是 Sandworm 如何使用伪装成知名应用程序的工具，在受害者系统中植入长期访问权限。

LNK 文件触发主控制脚本 currentSessionTrigger 后，该脚本首先通过检查至少 10 个最近的 .lnk 文件和 50 个或更多活动进程来验证它是否在真正的机器上运行。

如果环境通过了这些检查，脚本会注册两个名为 OperagxRepairTask 和 DropboxRepairTask 的计划任务，这两个任务都会从默认的任务计划程序视图中隐藏，从而确保恶意载荷在每次用户登录时自动启动。

这些任务启动了两个伪装的可执行文件：operagx.exe（实际上是 OpenSSH 守护程序）和 dropbox.exe（Tor 服务器）。

第三个文件 safari.exe 充当 obfs4 流量混淆插件，将所有 Tor 流量重塑为随机 TCP 流，以绕过企业防火墙和深度包检测系统。

第四个文件 obsstudio.exe 用作 SFTP 服务器，进行静默文件传输。SSH 守护进程配置为仅监听本地回环端口 20321，使其对外部网络扫描不可见。

Tor 服务启动后，会生成一个隐藏的 .onion 主机名。主控制脚本读取此主机名，并使用高频重试设置的 curl 命令将受害者的身份信息发送到硬编码的 C2 地址 kvk46su7d2qi6g4n43syp4zbsf2rihnc6ztj77qtc2ojvewjqvqilnqd.onion，以维持连接，从而在受害者的网络内部建立一个永久加密的影子控制通道。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 《新型沙虫通信技术利用Tor隧道进行SSH远程访问》