黑客利用Snappybee恶意软件与Citrix漏洞入侵欧洲电信网络

据Darktrace披露，一家欧洲电信组织在2025年7月第一周遭到与中国关联的高级持续性威胁组织Salt Typhoon（又名Earth Estries、FamousSparrow、GhostEmperor、UNC5807）的攻击。攻击者利用Citrix NetScaler网关设备获取初始访问权限。

Salt Typhoon自2019年以来持续活跃，以攻击美国电信服务商、能源网络和政府系统闻名。该组织擅长利用边缘设备安全漏洞，在北美、欧洲、中东和非洲等80多个国家长期潜伏并窃取敏感数据。

在此次事件中，攻击者利用初始立足点横向移动至客户机创建服务子网中的Citrix虚拟交付代理主机，并通过SoftEther VPN隐藏真实来源。

攻击中部署的Snappybee恶意软件（又名Deed RAT）是ShadowPad（又名PoisonPlug）的疑似后继版本，采用DLL侧载技术激活。Darktrace指出：“后门以DLL形式与诺顿 antivirus、Bkav Antivirus和IObit Malware Fighter等合法杀毒软件的可执行文件共同投放到内部端点，表明攻击者依赖合法杀毒软件进行DLL侧载来执行载荷。”

该恶意软件通过HTTP和未识别的TCP协议与外部服务器通信。Darktrace表示入侵活动在升级前已被识别并修复。公司补充道：“Salt Typhoon通过隐蔽性、持久性和滥用合法工具持续挑战防御者，其不断演进的技术手段和利用可信软件基础设施的能力，使其难以通过传统方法检测。”