2025 年 8 月 24 日，一场严重的网络攻击扰乱了美国内华达州政府的网络系统，导致该州所有政府办公室分支机构被迫关闭运营 48 小时。 此次入侵始于攻击者利用一个未打补丁的虚拟专用网络（VPN）网关，借此在内部网络中获得了初始立足点。 数小时内，攻击者部署了定制化恶意软件载荷，该载荷可实现权限提升、在关键服务器间横向移动，并窃取敏感数据。 了解更多新闻，请关注我们的谷歌新闻（Google News）账号！关注我们 这一事件是近期州政府 IT 服务遭遇的最严重中断事件之一，影响范围涵盖电子邮件、公共记录访问及内部沟通渠道。 内华达州州长隆巴多（Lombardo）新闻办公室的分析师指出，该恶意软件采用了多阶段攻击向量：首先是一个基于 PowerShell 编写的轻量级投放器（dropper），随后由该投放器从一个已被攻陷的 Web 服务器获取第二阶段二进制文件。 该二进制文件包含加密的配置文件，这表明攻击者意图在隐蔽状态下绘制网络拓扑图，避免被检测到。 “以下是与 8 月 24 日网络安全事件相关的备忘录，详见：pic.twitter.com/PvXcSpO63G”（注：该链接为推特（X 平台）地址，用于查看事件相关备忘录）

当州政府技术人员努力隔离受感染端点时，正常的用户身份验证服务被重新路由至离线备份系统，这进一步增加了恢复工作的复杂性。 初步取证分析显示，该投放器脚本通过以下代码模式实现了系统重启后的持久化运行：

$TaskAction = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-NoProfile -WindowStyle Hidden -File C:\Windows\Temp\svc_update.ps1'
$Trigger    = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -TaskName 'WindowsUpdateSvc' -Action $TaskAction -Trigger $Trigger -Description 'System Update Service'

通过这种技术，即便终端设备安装了补丁程序，恶意软件仍能静默重启运行。

州长隆巴多新闻办公室的研究人员发现，该投放器的代码与已知的高级持续性威胁（APT）工具包存在相似性，这表明攻击者具备先进的技术能力，且掌握了关于内华达州政府基础设施的大量侦察数据。

感染机制

深入分析感染机制可见，第二阶段二进制文件通过超文本传输协议安全版（HTTPS）采用定制化通信协议，将其流量伪装成良性的表征状态转移（REST）应用程序编程接口（API）调用，以此规避入侵检测系统。

该二进制文件执行后，会将一个动态链接库（DLL）加载到 Windows 管理规范（WMI）主机进程（wmiprvse.exe）中，从而将其操作隐蔽在合法的系统进程内。

该 DLL 会在内存中解密嵌入的载荷，部署用于扫描域控制器和文件共享的模块。

一旦确定攻击目标，关键文件的加密压缩包会被准备就绪，通过分块上传的方式发送至远程命令与控制（C2）服务器，完成数据窃取。

整个攻击过程中，恶意软件从初始代码执行到数据窃取的全流程，均未触发标准网络安全警报。