最近中国黑客的攻击行动频频，其中最恶名昭彰的APT41（又称Winnti、Earth Baku、Brass Typhoon），有研究人员揭露长达9个月的攻击行动，公布这些黑客隐密的手法供防守方参考。

资安业者Security Joes揭露APT41最新一波攻击，这些黑客锁定一家赌博及游戏业者，在维持秘密的行动下，企图接管整个网络基础设施，他们采取多阶段攻击，为期接近9个月，光是侦察活动花上半年，而在活动当中，黑客还根据受害公司资安团队的回应调整工具。研究人员认为，上述活动，可能与资安业者Sophos揭露的Operation Crimson Palace攻击有关。

这波攻击行动如何进行？研究人员目前无法确定黑客初始入侵的管道，但根据采集到的证据与过往该组织曾经运用的手段，研判可能借由网络钓鱼得到初期的存取权限，等到成功进入受害组织的基础设施，就会运行DCSync攻击，企图取得服务及管理帐号的密码散列数据，从而控制整个网络环境以便持续活动。

值得一提的是，黑客似乎没有对互联网的网页应用程序下手，也没有发动供应链攻击的迹象。

但特别的是，这些黑客在完全控制网域之后，并非选择直接发动攻击（如加密文件、窃取数据），而是测试各种攻击策略，然后观察受害组织资安团队的反应，若是行迹败露，黑客就会停止活动一段时间，更换工具及新的战术、技巧、流程（TTP），再度从事攻击活动。这样的做法如同实际的红队及蓝队演练，不只是从网络环境及设备持续收集情报，还会根据防守方的反应、不断调整使用的工具。

在这起资安事故发生的过程里，至少有3次试图于多台主机提升权限的迹象，目的都是下载有效酬载并运行，做法却存在显著差异。

在前2次活动里，攻击者利用Ghost DLL Hijacking手法运行恶意代码，而这些代码以加密文件存放于磁盘，然后通过Windows服务SessionEnv及自制的DLL文件解密及加载。

攻击者试图散布DLL文件TSVIPSrv.dll，并借此运行Phantom DLL Hijacking手法，借由窗口操作系统直接加载恶意代码，从而回避资安系统的侦测。一旦电脑的SessionEnv服务启动，这些恶意代码就会运行，充当恶意程序加载工具，然后通过SMB协定传输文件。

到了第3回出现变化，黑客利用公用程序WMIC进行寄生攻击（LOLBins），运行内含重度混淆JavaScript代码的XSL文件。

在这3次渗透的过程当中，也被研究人员找到一个共通点，那就是攻击者滥用具有管理者权限的服务帐号来进行，但即便他们掌握高权限，还是选择投入时间进行测试与微调手法。