文章总结: APT-C-60利用SpyGlace发起攻击,通过钓鱼邮件投递含LNK的压缩包,并滥用GitHub等可信开发者服务分发载荷以逃避检测。其攻击链高度依赖合法组件,使传统域名阻断失效。建议结合上下文监控异常的mshta与git调用,加强网关拦截,提升防钓鱼意识。 综合评分: 83 文章分类: 威胁情报,恶意软件,应急响应
SpyGlace攻击滥用受信任的开发人员服务来逃避网络检测
原创
网络安全9527 网络安全9527
安全圈的那点事儿
2026年7月13日 19:22 北京
在小说阅读器读本章
去阅读
SpyGlace在一场在许多公司信任的在线服务背后隐藏恶意活动的活动中回归。
该操作与APT-C-60相关联,使用鱼叉式网络钓鱼电子邮件将受害者引导到被捕鱼的档案,然后通过一连串的普通工具安装恶意软件。
最新活动展示了攻击者如何将正常的业务流量变成掩护。受害者可能会收到指向RAR存档的质子驱动器链接,或直接在电子邮件中收到恶意附件。
存档内是一个Windows快捷方式或LNK文件,打开它开始感染。
JPCERT/CC的分析师在跟踪针对日本组织的持续APT-C-60活动时确定了该活动。
他们发现,该集团改变了其部分进入方法和在线基础设施,同时保留了2024年和2025年运营中的技术。令人担忧的不仅仅是SpyGlace有效载荷,还在于交付链的融合方式。
它依赖于标准的Windows程序和熟悉的开发平台,使基本的阻止规则不那么可靠,并让组织发现可疑行为,而不仅仅是可疑的目的地。
JPCERT/CC在与《网络安全新闻》(CSN)分享的一份报告中表示,它观察到SpyGlace版本3.1.15、3.1.17和3.1.18,与早期样本没有重大功能差异。
SpyGlace攻击滥用受信任的开发人员服务
当收件人打开LNK文件时,攻击就开始了。快捷方式复制自己并启动mshta.exe,一个合法的Windows组件,以运行存储在文件中的隐藏JavaScript。
该代码下载一个名为contribution1.txt的文件,对其进行解码,并提取其内容。
接下来,脚本使用从提取的文件中合法的git.exe副本来运行另一个脚本。该脚本从几个.db片段中重建一个下载器,然后在启动SpyGlace之前使用它来收集更多下载器和加载器。
这个分阶段的过程为操作员提供了几次在不改变原始诱饵的情况下改变材料的机会。
APT-C-60通过GitHub、GitLab、jsDelivr和Codeberg路由了这些后来的下载。这些网站每天为开发人员和内容提供服务,因此它们的流量在企业网络中可能看起来是无害的。
该小组之前曾使用过GitHub和Bitbucket,但更广泛的2026年组合扩大了捍卫者必须调查的地方数量。
使用受信任的服务并不能使活动合法。它仅根据网站名称做出决定,这远不那么有用。
安全团队需要将用户操作(如打开意外存档)与后续事件联系起来,包括mshta.exe执行、异常git.exe活动、脚本创建和从开发人员平台下载。
网络钓鱼链提高了检测压力
该活动展示了为什么即使组织严格管理软件,网络钓鱼防御仍然是必不可少的。
初始电子邮件是常规云存储链接成为妥协路径的点。用户应避免在可疑电子邮件中打开云存储链接,并应将RAR存档中的LNK文件视为严重的警告信号。
邮件控件应标记意外的存档和快捷方式文件,特别是当邮件要求收件人从云驱动器检索内容时。
端点监控还应在启动mshta.exe的快捷方式或从不寻常的临时或提取位置启动的git.exe上发出警报。
网络团队应在设备和生成它的流程的背景下审查对代码托管和内容交付服务的访问。浏览项目页面的员工与LNK启动的提取编码文件的脚本不同。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《SpyGlace攻击滥用受信任的开发人员服务来逃避网络检测》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论