去年有個(gè)數(shù)據(jù)挺扎眼的：全球云基礎(chǔ)設(shè)施支出突破8000億美元，但同期云原生安全事件的平均檢測(cè)時(shí)間仍超過(guò)200天。這中間的縫隙，APT41顯然算得很清楚。

他們的新玩具是一款零檢出的Linux后門，專門寄生在AWS、GCP、Azure和阿里云的工作負(fù)載上，把云服務(wù)器變成批量竊取憑證的流水線。

Breakglass Intelligence的分析報(bào)告顯示，這款Winnti家族的新成員在VirusTotal上當(dāng)時(shí)零檢出。不是殺毒軟件偷懶，而是它太懂云環(huán)境的"正常"長(zhǎng)什么樣。

傳統(tǒng)殺毒軟件還在學(xué)怎么認(rèn)Windows惡意文件，APT41已經(jīng)換賽道了——他們不去碰終端，直接蹲在云實(shí)例里，把實(shí)例元數(shù)據(jù)服務(wù)、本地憑證文件、云廠商專屬配置路徑挨個(gè)翻一遍。

云廠商的"后門鑰匙"，它全有副本

這款后門的核心是一套模塊化的憑證收割引擎，針對(duì)不同云廠商的架構(gòu)做了精細(xì)適配。

在AWS環(huán)境里，它會(huì)查詢169.254.169.254這個(gè)實(shí)例元數(shù)據(jù)端點(diǎn)，把IAM角色憑證扒出來(lái)；同時(shí)順手讀取~/.aws/credentials文件。這個(gè)路徑很多開發(fā)者都熟——本地調(diào)試時(shí)存的臨時(shí)密鑰，往往權(quán)限比生產(chǎn)環(huán)境還大。

GCP這邊，它向元數(shù)據(jù)服務(wù)器請(qǐng)求服務(wù)賬號(hào)令牌，再檢查應(yīng)用默認(rèn)憑證。Azure則是從IMDS端點(diǎn)拉取托管身份令牌，掃描~/.azure配置文件。阿里云也沒(méi)被落下：ECS元數(shù)據(jù)里的RAM角色憑證、本地阿里云CLI配置，都是目標(biāo)。

Breakglass Intelligence的分析師指出，這種"全平臺(tái)覆蓋"的設(shè)計(jì)反映出APT41對(duì)多云架構(gòu)的深入理解。企業(yè)為了容災(zāi)搞多云，結(jié)果攻擊者也跟著跨云——憑證偷到手，橫向移動(dòng)的路自然就通了。

更麻煩的是，這些元數(shù)據(jù)端點(diǎn)在設(shè)計(jì)上是"可信"的。實(shí)例內(nèi)的應(yīng)用默認(rèn)能訪問(wèn)，不需要額外認(rèn)證。攻擊者一旦拿到實(shí)例權(quán)限，等于拿到了云廠商預(yù)置的"后門鑰匙"。

用SMTP當(dāng)"隱身衣"，把C2藏進(jìn)郵件流量

命令控制通道的設(shè)計(jì)，暴露了APT41對(duì)云網(wǎng)絡(luò)邊界的熟悉。

他們沒(méi)選常見(jiàn)的HTTPS，而是用了SMTP over 25端口。Breakglass Intelligence的報(bào)告里提到，這個(gè)選擇"允許植入程序?qū)2流量偽裝成電子郵件傳輸"。

云環(huán)境的出站過(guò)濾往往對(duì)Web流量盯得很緊，但對(duì)郵件端口相對(duì)寬松。很多企業(yè)為了業(yè)務(wù)需要，25、587、465這些端口是默認(rèn)放行的。APT41算準(zhǔn)了這一點(diǎn)——郵件流量混在正常的業(yè)務(wù)通信里，既不容易觸發(fā)告警，也很難做深度包檢測(cè)。

C2服務(wù)器指向一組阿里云新加坡節(jié)點(diǎn)的域名，都是 Alibaba 相關(guān)品牌的拼寫變體。流量目的地在亞太區(qū)域，對(duì)用阿里云的企業(yè)來(lái)說(shuō)，看起來(lái)就像正常的跨境業(yè)務(wù)調(diào)用。

基礎(chǔ)設(shè)施的準(zhǔn)備也透著精心。Breakglass Intelligence發(fā)現(xiàn)，三個(gè)仿冒阿里云和奇安信品牌的域名，在24小時(shí)內(nèi)通過(guò)NameSilo完成注冊(cè)，全部啟用了WHOIS隱私保護(hù)。這種批量、快速、匿名的注冊(cè)模式，是APT41的標(biāo)志性操作。

Winnti的Linux進(jìn)化史：從PWNLNX到云原生

代碼層面的溯源把這款后門和APT41的歷史工具鏈連在了一起。

Breakglass Intelligence的分析顯示，其代碼譜系可以追溯到早期的Winnti ELF植入物PWNLNX，以及Linux版本的KEYPLUG變種。這些工具在過(guò)去幾年里多次被觀察到針對(duì)游戲、科技和醫(yī)療行業(yè)。

但這次的迭代有個(gè)明顯轉(zhuǎn)向：從"能跑就行"到"云原生優(yōu)先"。

早期的Linux后門更多是為了維持訪問(wèn)權(quán)限，功能相對(duì)通用。這款新樣本則是專門為云工作負(fù)載設(shè)計(jì)的——它懂實(shí)例元數(shù)據(jù)服務(wù)的結(jié)構(gòu)，知道不同云廠商的憑證存哪兒，甚至?xí)鶕?jù)目標(biāo)環(huán)境自動(dòng)切換收割策略。

這種進(jìn)化背后是攻擊面的轉(zhuǎn)移。企業(yè)上云之后，最有價(jià)值的資產(chǎn)不再是單臺(tái)服務(wù)器上的文件，而是能撬動(dòng)整個(gè)云環(huán)境的訪問(wèn)密鑰。一條IAM憑證可能對(duì)應(yīng)著幾十個(gè)S3存儲(chǔ)桶、幾套生產(chǎn)數(shù)據(jù)庫(kù)、甚至跨賬號(hào)的管理權(quán)限。

APT41的算盤很明白：與其在每臺(tái)機(jī)器上翻文件，不如直接偷"萬(wàn)能鑰匙"。

零檢出的警示：云安全工具鏈的滯后

VirusTotal上的零檢出記錄，戳中了一個(gè)尷尬的現(xiàn)實(shí)。

Breakglass Intelligence在報(bào)告中強(qiáng)調(diào)，這"凸顯了傳統(tǒng)端點(diǎn)防御與當(dāng)今云原生威脅之間的差距"。翻譯成人話：你買的EDR（端點(diǎn)檢測(cè)與響應(yīng)）可能根本看不見(jiàn)云實(shí)例里的異常。

云工作負(fù)載的保護(hù)邏輯和物理服務(wù)器完全不同。實(shí)例是臨時(shí)的、自動(dòng)擴(kuò)縮的、經(jīng)常隨著CI/CD流水線重建。傳統(tǒng)的基于簽名的檢測(cè)，面對(duì)每次編譯都微調(diào)過(guò)的ELF二進(jìn)制，基本抓瞎。

更深層的問(wèn)題是可見(jiàn)性。很多企業(yè)的安全團(tuán)隊(duì)對(duì)云環(huán)境的了解程度，遠(yuǎn)不如對(duì)數(shù)據(jù)中心的掌控。實(shí)例啟動(dòng)了、連了哪些API、訪問(wèn)了哪些元數(shù)據(jù)端點(diǎn)——這些行為日志分散在各云廠商的服務(wù)里，沒(méi)做統(tǒng)一分析的話，攻擊者的"正常"操作就是真的正常。

APT41的SMTP C2策略也利用了這種盲區(qū)。郵件流量在SOC（安全運(yùn)營(yíng)中心）的優(yōu)先級(jí)通常低于Web攻擊，分析師看到25端口的連接，第一反應(yīng)往往是"業(yè)務(wù)需要"而非"可疑外聯(lián)"。

多云架構(gòu)的雙刃劍：便利與風(fēng)險(xiǎn)同步擴(kuò)散

這款后門的跨云設(shè)計(jì)，還暴露了一個(gè)架構(gòu)層面的悖論。

企業(yè)搞多云是為了分散風(fēng)險(xiǎn)——AWS掛了切Azure，阿里云合規(guī)有問(wèn)題就遷GCP。但攻擊者視角里，多云意味著更多的憑證入口、更復(fù)雜的權(quán)限鏈條、更難統(tǒng)一監(jiān)控的邊界。

APT41的收割引擎支持四大主流云廠商，本質(zhì)上是在"服務(wù)"企業(yè)的多云戰(zhàn)略。你在每個(gè)云上都存了憑證，我就每個(gè)云都偷一遍。憑證之間的關(guān)聯(lián)關(guān)系——比如用于跨云同步的IAM角色——反而成了橫向移動(dòng)的跳板。

Breakglass Intelligence沒(méi)有披露具體受害者的行業(yè)和規(guī)模，但從攻擊者的基礎(chǔ)設(shè)施投入來(lái)看，目標(biāo)選擇是經(jīng)過(guò)篩選的。仿冒阿里云和奇安信域名，說(shuō)明對(duì)中國(guó)市場(chǎng)有特定興趣；新加坡節(jié)點(diǎn)的C2服務(wù)器，則覆蓋了亞太區(qū)的主要云區(qū)域。

這種地理和行業(yè)的雙重針對(duì)性，和APT41過(guò)往的活動(dòng)模式一致。該組織被公開歸因于針對(duì)游戲、醫(yī)療、科技和政府機(jī)構(gòu)的長(zhǎng)期滲透，其工具鏈的更新往往先于公開報(bào)告數(shù)月甚至數(shù)年。

云安全的戰(zhàn)場(chǎng)正在從"邊界防守"轉(zhuǎn)向"實(shí)例內(nèi)部的微行為監(jiān)控"。