{
	"id": "2b4e1ed7-6d87-47b3-ac06-b6c4ef8c3366",
	"created_at": "2026-04-06T00:09:15.295332Z",
	"updated_at": "2026-04-10T13:12:00.7993Z",
	"deleted_at": null,
	"sha1_hash": "21c7a362a59f4f75ae9b6c3ff24c56376ef30739",
	"title": "網路間諜病毒Waterbear現新變種，自帶逃避查殺功能 - 天天要聞",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 569374,
	"plain_text": "網路間諜病毒Waterbear現新變種，自帶逃避查殺功能 - 天天要聞\r\nBy 天天要聞\r\nPublished: 2020-01-03 · Archived: 2026-04-05 19:43:55 UTC\r\n2020年01月03日12:50:08 科技 1521\r\n網路間諜病毒Waterbear現新變種，自帶逃避查殺功能 - 天天要聞\r\nBlackTech，一個主要以東亞地區（尤其是中國台灣，也包括中國香港和日本）的技術公司和政府機構為\r\n攻擊目標的網路間諜組織，且並被認為是惡意軟體「Waterbear」的幕後操控者。\r\nWaterbear是一種模塊化惡意軟體，已經存在了多年，其載入模塊能夠通過從命令和控制（C2）伺服器下\r\n載有效載荷來實現不同的功能。在大多數情況下，有效載荷都是後門程序，可以接收和載入其他模塊。\r\n最近，網路安全公司趨勢科技（Trend Micro）捕獲了Waterbear的一個最新變種，其載入模塊不僅會下載\r\n第一階段後門，而且還會下載一個會將代碼注入特定的安全產品中進行API掛鉤來隱藏第一階段後門惡意\r\n行為的有效載荷。\r\n如上所述，Waterbear具有模塊化的結構，通過載入模塊（DLL文件）解密並執行RC4加密的有效載荷。一\r\n般情況下，有效載荷都是第一階段後門，用於從攻擊者那裡接收並載入其他可執行文件。\r\n根據功能的不同，第一階段後門大致可分為兩種：第一種，連接C2伺服器；第二種，偵聽特定埠。\r\n網路間諜病毒Waterbear現新變種，自帶逃避查殺功能 - 天天要聞\r\n圖1.典型的Waterbear感染鏈\r\n如上圖所示，典型的Waterbear感染從一個惡意DLL載入程序開始，而涉及到的觸發技術也分為兩種：第\r\n一種，修改合法的伺服器應用程序以導入和載入DLL載入器；第二種，執行虛擬DLL劫持和DLL端載入。\r\n為了逃避安全檢測，有效載荷會在執行實際的惡意常式之前對所有的函數塊進行加密，然後只會在需要\r\n使用函數時，解密相應函數並執行，而之後則會再次對函數加密。\r\n網路間諜病毒Waterbear現新變種，自帶逃避查殺功能 - 天天要聞\r\n圖2.解密-執行-加密函數\r\n新版本Waterbear\r\n與之間的版本不同，趨勢科技此次捕獲的新版本Waterbear載入了兩個有效載荷。其中，第一個有效載荷\r\n會將代碼注入特定的安全產品中進行API掛鉤來隱藏其惡意行為，而第二個有效載荷則是典型的Waterbear\r\n第一階段後門。\r\n網路間諜病毒Waterbear現新變種，自帶逃避查殺功能 - 天天要聞\r\nhttps://daydaynews.cc/zh-tw/technology/297265.html\r\nPage 1 of 5\n\n圖3.新的Waterbear感染鏈\r\n兩種有效載荷均經過加密處理，存儲在受感染計算機的磁碟上，並注入到同一服務（如LanmanServer）\r\n中。\r\n趨勢科技表示，新版本Waterbear的載入程序首先會試圖從文件中讀取並解密有效載荷，然後對其解密，\r\n並按如下條件執行線程注入：\r\n1.如果在磁碟上找不到第一個有效載荷，則將終止載入程序而不會載入第二個有效載荷（即第一階段後\r\n門）。\r\n2.如果第一個有效載荷被成功解密並注入到服務中，那麼不管第一個線程發生了什麼，第二個有效載荷也\r\n將被載入並注入。\r\n3.在第一個注入的線程中，如果找不到來自特定安全產品的必要可執行文件，那麼該線程將被終止，而不\r\n會執行其他惡意常式。需要注意的是，只有線程將被終止，而服務仍將運行。\r\n為了隱藏第一階段後門，第一個有效載荷使用了API掛鉤技術來逃避特定安全產品的檢測。具體來說，它\r\n掛鉤了兩個不同的API，即「ZwOpenProcess」和「GetExtendedTcpTable」，以隱藏其特定進程。\r\n網路間諜病毒Waterbear現新變種，自帶逃避查殺功能 - 天天要聞\r\n圖4.「ZwOpenProcess」的函數掛鉤，用於檢查和修改函數的輸出\r\n網路間諜病毒Waterbear現新變種，自帶逃避查殺功能 - 天天要聞\r\n圖5.被修改後的「ZwOpenProcess」\r\n結論\r\n趨勢科技表示，這是他們首次觀察到Waterbear試圖隱藏其後門活動。\r\n根據硬編碼的安全產品名稱，趨勢科技認為攻擊者應該十分了解受害者所使用的安全產品，甚至連這些\r\n安全產品是如何在客戶端的端點和網路上收集信息的都十分清楚。因為只有這樣，他們才有可能知道具\r\n體要掛鉤哪些API。\r\n此外，由於API掛鉤shellcode採用的是通用方法，因此攻擊者之後還可能會使用類似的代碼段來應對其他\r\n安全產品，使得Waterbear活動更加難以檢測。\r\n科技分類資訊推薦\r\n追趕英偉達，必須自研GPU？梁文峰給中國晶元指了另一條路 - 天天要聞 科技\r\n如果讓梁文峰主導GPU晶元開發，要多久追上英偉達？在梁文峰的採訪中，他說英偉達的GPU沒有技術\r\n秘密，追趕是時間問題。我理解就是技術和理論上是可行的，就是如何在追趕中組織創新人才研究和創\r\n新的問題。那麼，假如：如果讓梁文峰主導，組織團隊，進行G\r\n04月06日 1565\r\nhttps://daydaynews.cc/zh-tw/technology/297265.html\r\nPage 2 of 5\n\n家裡的WiFi路由器，到底是怎麼讓人們連上互聯網的？ - 天天要聞 科技\r\n有人正拿著手機刷視頻，突然畫面卡住不動了，那個小圈圈轉啊轉，急得他直想蹦高。這時候他八成會\r\n瞅一眼牆角那個閃著小燈的路由器，這玩意兒是不是又耍脾氣了？咱今天就嘮嘮這個方頭方腦的小盒子\r\n到底有啥能耐，咋就能讓你舒舒服服連上互聯網，看劇聊天打遊戲一\r\n04月06日 1228\r\n齊魯師範學院召開「人工智慧+」專題研討會 - 天天要聞 科技\r\n為深入貫徹國家教育數字化戰略行動與教育部「四個未來」政策要求，加快推進人工智慧與教育教學、\r\n科學研究、校園治理的深度融合，3月20日，學校在章丘校區第二會議室召開「人工智慧+」專題研討\r\n會。\r\n04月06日 1154\r\n比預告更早：曝「超級小愛」PC 客戶端正推送給小米筆記本 Pro 14 - 天天要聞 科技\r\nIT之家 4 月 5 日消息，據博主 @懶醬的日記本 今日分享，小米「超級小愛」PC 客戶端正推送給 Xiaomi\r\nBook Pro 14 筆記本（即小米筆記本 Pro 14），比官網底部注釋寫的四月中旬稍微提早。據介紹，小米筆\r\n記本 Pro 14 的鍵盤擁有「超級小愛鍵」，按下後就能完整使用筆記本里的 AI 服務，包括 AI 深度搜索、\r\nAI 多模態問答、創建\r\n04月06日 3691\r\n剛剛，Claude 4小時血洗全球最安全系統！人類最後防線失守 - 天天要聞 科技\r\n全球最安全的一批系統里，FreeBSD一直算得上那塊最硬的骨頭。現在，這塊骨頭被AI在4小時內啃開\r\n了。FreeBSD官方這次公布的，是編號為CVE-2026-4747的內核遠程代碼執行漏洞。\r\n04月06日 1293\r\n有問題也要飛，美國阿爾忒彌斯2號發射成功，為啥感覺差點意思 - 天天要聞 科技\r\n大家都盯著熱搜，美國阿爾忒彌斯2號到底還是上天了。這事實在是大，畢竟自從1972年阿波羅17號帶人\r\n離開月球之後，這半個多世紀里，全人類的載人航天基本都在離地幾百公里的近地軌道上打轉。空間站\r\n建了一個又一個，但真要往深空走，誰都沒邁出那一步。\r\n04月06日 1540\r\nhttps://daydaynews.cc/zh-tw/technology/297265.html\r\nPage 3 of 5\n\n科技\r\n車市逐漸回暖之後，網友們開始打開錢包準備買車。如今，轎車依然是網友們關注的重點，那麼，哪些\r\n轎車產品值得網友們重點關注，不妨看看銷量榜單，了解一下實際的銷量情況，然後，再決定該如何選\r\n擇。\r\n04月06日 6158\r\n 科技\r\n近日，一汽-大眾全新新能源序列ID.AURA的首款車型，其路試諜照正式對外披露。據了解，這款新車精\r\n準定位於中型SUV領域，依託全新CEA電子電氣架構精心構建，更配備激光雷達，值得一提的是，它堪\r\n稱大眾旗下首款搭載激光雷達的純電SUV。此外，新車計劃於2026年下\r\n04月05日 7904\r\n單日狂賣25萬台，華為這款新機贏麻了 - 天天要聞 科技\r\n華為在春季新品發布會上，帶來了華為全新的暢享90系列。華為暢享90系列包含兩款機型，分別是華為\r\n暢享90ProMax、華為暢享90Plus、暢享90三款機型。華為暢享90，起售價格1299元。華為暢享90Plus，起\r\n售價格1499元。華為暢享\r\n04月05日 1753\r\n空歡喜？美載人繞月成功，6400億砸下去，卻連登月一半都沒完成 - 天天要聞 科技\r\n北京時間2026年4月2日清晨6時35分，美國佛羅里達州肯尼迪航天中心，一枚98米高的SLS火箭拖著尾焰\r\n衝天而起。四名宇航員搭乘獵戶座飛船升空，開啟為期10天的繞月飛行。這是1972年阿波羅17號之後，\r\n時隔54年，人類再次飛向月球方向。消息\r\nhttps://daydaynews.cc/zh-tw/technology/297265.html\r\nPage 4 of 5\n\n04月05日 1907\r\nSource: https://daydaynews.cc/zh-tw/technology/297265.html\r\nhttps://daydaynews.cc/zh-tw/technology/297265.html\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://daydaynews.cc/zh-tw/technology/297265.html"
	],
	"report_names": [
		"297265.html"
	],
	"threat_actors": [
		{
			"id": "efa7c047-b61c-4598-96d5-e00d01dec96b",
			"created_at": "2022-10-25T16:07:23.404442Z",
			"updated_at": "2026-04-10T02:00:04.584239Z",
			"deleted_at": null,
			"main_name": "BlackTech",
			"aliases": [
				"BlackTech",
				"Canary Typhoon",
				"Circuit Panda",
				"Earth Hundun",
				"G0098",
				"Manga Taurus",
				"Operation PLEAD",
				"Operation Shrouded Crossbow",
				"Operation Waterbear",
				"Palmerworm",
				"Radio Panda",
				"Red Djinn",
				"T-APT-03",
				"TEMP.Overboard"
			],
			"source_name": "ETDA:BlackTech",
			"tools": [
				"BIFROST",
				"BUSYICE",
				"BendyBear",
				"Bluether",
				"CAPGELD",
				"DRIGO",
				"Deuterbear",
				"Flagpro",
				"GOODTIMES",
				"Gh0stTimes",
				"IconDown",
				"KIVARS",
				"LOLBAS",
				"LOLBins",
				"Linopid",
				"Living off the Land",
				"TSCookie",
				"Waterbear",
				"XBOW",
				"elf.bifrose"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "2646f776-792a-4498-967b-ec0d3498fdf1",
			"created_at": "2022-10-25T15:50:23.475784Z",
			"updated_at": "2026-04-10T02:00:05.269591Z",
			"deleted_at": null,
			"main_name": "BlackTech",
			"aliases": [
				"BlackTech",
				"Palmerworm"
			],
			"source_name": "MITRE:BlackTech",
			"tools": [
				"Kivars",
				"PsExec",
				"TSCookie",
				"Flagpro",
				"Waterbear"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "75024aad-424b-449a-b286-352fe9226bcb",
			"created_at": "2023-01-06T13:46:38.962724Z",
			"updated_at": "2026-04-10T02:00:03.164536Z",
			"deleted_at": null,
			"main_name": "BlackTech",
			"aliases": [
				"CIRCUIT PANDA",
				"Temp.Overboard",
				"Palmerworm",
				"G0098",
				"T-APT-03",
				"Manga Taurus",
				"Earth Hundun",
				"Mobwork",
				"HUAPI",
				"Red Djinn",
				"Canary Typhoon"
			],
			"source_name": "MISPGALAXY:BlackTech",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "3b93ef3c-2baf-429e-9ccc-fb80d0046c3b",
			"created_at": "2025-08-07T02:03:24.569066Z",
			"updated_at": "2026-04-10T02:00:03.730864Z",
			"deleted_at": null,
			"main_name": "BRONZE CANAL",
			"aliases": [
				"BlackTech",
				"CTG-6177 ",
				"Circuit Panda ",
				"Earth Hundun",
				"Palmerworm ",
				"Red Djinn",
				"Shrouded Crossbow "
			],
			"source_name": "Secureworks:BRONZE CANAL",
			"tools": [
				"Bifrose",
				"DRIGO",
				"Deuterbear",
				"Flagpro",
				"Gh0stTimes",
				"KIVARS",
				"PLEAD",
				"Spiderpig",
				"Waterbear",
				"XBOW"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775434155,
	"ts_updated_at": 1775826720,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/21c7a362a59f4f75ae9b6c3ff24c56376ef30739.pdf",
		"text": "https://archive.orkl.eu/21c7a362a59f4f75ae9b6c3ff24c56376ef30739.txt",
		"img": "https://archive.orkl.eu/21c7a362a59f4f75ae9b6c3ff24c56376ef30739.jpg"
	}
}