文章总结： 近期高危APT组织Sandworm针对白俄罗斯军方发起定向攻击，利用LNK漏洞实现初始入侵，部署基于OpenSSH+Tor+obfs4的隐蔽后门，流量高度混淆难以检测。建议防守方排查可疑LNK文件、监控异常进程与外连、封禁Tor出口流量、强化内网隔离与认证。 综合评分： 85 文章分类： 威胁情报,漏洞预警,解决方案

紧急预警｜Sandworm APT再出手！针对白俄罗斯军方发动攻击，LNK漏洞+Tor隐蔽后门，隐蔽性拉满

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年5月1日 12:01 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

近期，全球高危APT组织Sandworm再度活跃，被曝针对白俄罗斯军方发起定向网络攻击。

该攻击链高度专业化：攻击者借助LNK文件漏洞实现初始入侵，落地后部署基于OpenSSH + Tor + obfs4的多层隐蔽后门，流量高度混淆、极难检测，长期潜伏控制目标内网，堪称国家级攻防的典型样本。

一、攻击者身份：Sandworm APT——国家级威胁、能源与军方常客

Sandworm（沙虫）是全球公认的国家级APT组织，长期聚焦关键信息基础设施，尤其擅长攻击能源电网、军事机构、政府部门。

该组织以强破坏性、高隐蔽性、武器化攻击著称，曾制造多起影响国家安全的网络安全事件，是各国军方与安全机构重点监控的顶级威胁。

二、攻击流程复盘：从钓鱼落地到持久化控制，步步致命

1. 初始入侵：LNK漏洞钓鱼，一键上线

攻击者以军事相关主题制作钓鱼文档/压缩包，内置恶意 LNK快捷方式文件：

诱导目标双击执行

利用LNK漏洞释放恶意载荷

绕过常见终端防护静默执行

直接获取系统权限，完成内网初步站稳

2. 横向渗透：权限提升+内网探测

成功落地后，攻击者快速：

提升本地权限

收集主机信息、账号凭据

扫描内网资产、定位核心服务器

为长期控制铺路

3. 持久化后门：OpenSSH + Tor + obfs4，顶级隐蔽通信

本次攻击最危险的亮点，是后门极度隐蔽：

基于 OpenSSH 构建合法隧道

流量封装进 Tor 网络，隐藏真实出口IP

叠加 obfs4 流量混淆，彻底规避流量检测

无特征、无异常端口、无明显恶意行为

可长期潜伏、稳定回连、随时下发指令

对防守方而言：

常规防火墙、WAF、流量审计几乎看不见它。

三、威胁危害与关键风险点

1. 目标高度敏感：直接针对军方机构，涉及指挥、通信、情报等高价值资产。

2. 后门极难发现：Tor+obfs4混淆流量，传统SOC、EDR难以告警。

3. 潜伏周期长：不破坏、不声张，长期窃密、监控、伺机破坏。

4. 可复制性强：LNK+隐蔽隧道组合，已成为APT攻击标配模板。

四、防守方必做：快速排查与加固建议

🔍 立即排查

检查终端是否存在可疑LNK文件、异常快捷方式

查看是否有未知OpenSSH进程、异常外连

监控是否出现 Tor/obfs4 相关流量、进程

检索近期军事/政府主题钓鱼邮件

🛡️ 加固措施

禁用/限制LNK文件自动执行

启用EDR/终端防护，监控异常进程与隧道行为

边界封禁Tor相关出口、异常混淆流量

关键服务器启用双因素认证、最小权限

强化内网隔离，阻止横向移动

五、总结

Sandworm此次针对白俄罗斯军方的攻击，再次证明：

现代APT攻击已走向“合法协议+深度隐蔽+长期控制”。

LNK漏洞降低入侵门槛，Tor+obfs4提升后门生存能力，整套攻击链专业、致命、可复用。

对政企、军工、能源、关键基础设施而言：

只靠传统防护已经不够，必须具备对抗APT的深度检测与狩猎能力。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《紧急预警｜Sandworm APT再出手！针对白俄罗斯军方发动攻击，LNK漏洞+Tor隐蔽后门，隐蔽性拉满》