近一年來新型網路攻擊活動被歸咎於與中國駭客有關，該攻擊活動入侵ArcGIS系統，並將其變成網路後門。據ReliaQuest稱，這次攻擊活動是由中國政府支持的駭客組織Flax Typhoon所為，該組織也被追蹤為Ethereal Panda和RedJuliett。據美國政府稱，該組織被評估為一家總部位於北京的上市公司，名為Integrity Technology Group。The Hacker News一份報告表示：「該組織巧妙地將一個地理地圖應用程式的Java伺服器物件延伸功能 (Server Object Extension, SOE)註1 修改為可運行的Web Shell。透過使用硬編碼金鑰控制存取權限以實現獨佔控制，並將其嵌入系統備份中，實現深度、長期的持久性，即使在系統完全恢復後也倖免於難」。

Flax Typhoon以其「隱密」的攻擊手法而聞名，廣泛運用「離地攻擊」（Living Off-the-Land, LotL）註2方法和實際操作鍵盤操作，從而將軟體元件轉化為惡意攻擊的工具，同時規避檢測。這次攻擊展示駭客如何使用越來越濫用且受信任的工具和服務來繞過安全措施，攻擊未經授權存取受害者的系統，同時還能混入正常的伺服器流量中。

「異常巧妙的攻擊鏈Unusually Clever Attack Chain, UCAC」註3涉及駭客透過入侵入口網站管理員帳戶來部署惡意SOE，從而鎖定面向公眾的ArcGIS伺服器。「駭客使用標準的 [JavaSimpleRESTSOE] ArcGIS延伸功能啟動惡意SOE，呼叫REST作業透過公用入口網站在內部伺服器上執行命令，這將使攻擊行為活動難以被發現」， ReliaQuest表示：通過添加硬編碼密鑰，Flax Typhoon阻止其他駭客，及系統管理員更改其存取權限。

據稱，「web shell」被用於運行網路發現操作，透過將重新命名SoftEther VPN執行檔（bridge.exe）上傳到「System32」資料夾來建立持久性，然後建立一個名為「SysBridge」的服務，以便在每次伺服器重新啟動時自動啟動該二進位檔案。已發現「bridge.exe」行程會與駭客控制的IP位址（連接埠443）建立網站HTTPS連接，其主要目的是建立一條通往外部伺服器的隱藏VPN通道。研究人員Alexa Feminella和James Xiang解釋：這種VPN橋接器允許駭客將目標本地端網路延伸到遠端位置，使其看起來像是內部網路的一部分。這使得駭客能夠繞過網路級監控，就像一個後門，允許駭進行額外的橫向移動和資料外洩。據稱，駭客專門針對IT人員工作站，以取得憑證並進一步潛入網路。進一步調查發現，駭客可以存取管理帳戶並重設密碼。

研究人員指出：此次攻擊不僅凸顯駭客的創造力和老練程度，也凸顯可信任系統功能被武器化以逃避傳統檢測的危險性。這不僅僅是為了發現惡意攻擊活動；還在於認識到合法工具和流程如何被操縱並被用來針對性攻擊。

ReliaQuest向駭客新聞透露，除了指出駭客已經存取該系統超過一年外，無法透露有關攻擊開始時間的更多細節。「駭客很可能出於一個簡單的原因，利用N-day漏洞來採取這種攻擊做法：如果沒有必要，為什麼要利用漏洞？駭客很可能透過一個弱管理員密碼獲得初始存取權限，然後將一個軟體組件重新用作後門。這使得駭客能夠利用系統中的弱點，只不過並非傳統意義上的軟體漏洞或配置錯誤，而是使用者自身安全實施中的弱點。這種方法具有雙重優點：持久性更強，而且不易被發現，因為利用漏洞可能會更早觸發警報。雖然該駭客組織慣用的方法可能是利用漏洞，但很明顯，駭客不會自我設限，會採取任何能帶來最大優勢的方法。

註1:伺服器物件延伸功能 (Server Object Extension, SOE):是 ArcGIS Server的一種延伸程式，允許開發者自訂伺服器上GIS服務功能。它是一個程式延伸，可以回應來自客戶端應用程式的HTTP請求，並能以簡單類型（如數字、字串、XML、JSON）進行輸入和輸出。透過SOE，開發者可以在不了解ArcObjects的情況下，向ArcObjects 提供更多GIS功能，例如RESTful服務。

註2:離地攻擊（Living Off-the-Land, LotL）：是一種在攻擊中利用目標系統已存在的合法功能、工具或腳本的方法。這些攻擊通常不需要下載外部惡意軟體，而是利用目標系統已經具有的資源和功能來實施攻擊，從而更難以檢測和防禦。離地攻擊（LotL）技術是指使用系統中已經存在或易於安裝的二進位檔案（如已簽名的合法管理工具）來執行後滲透活動（post-exploitation activity）。離地攻擊達到的目的：離地攻擊的目的是盡可能地減少攻擊留下的痕跡，提高攻擊的成功率，並使檢測和防禦變得更加困難。因此，對於安全團隊來說，瞭解和監視這些離地攻擊技術是非常重要的，以便及時檢測和應對潛在的威脅。

註3:異常巧妙的攻擊鏈(Unusually Clever Attack Chain, UCAC):

指的是利用多種先進且協調一致的策略，繞過安全防護並達成攻擊目標的網路攻擊模式，例如供應鏈攻擊利用合法軟體更新管道進行滲透，或透過水坑式攻擊在受害者常造訪的網站上埋伏惡意程式碼。這些攻擊鏈比傳統的單一方法（如單純的網路釣魚）更難察覺，因為它們結合了多個技術和手法，並通常具有長期潛伏的特性。

本文參考自：https://thehackernews.com/2025/10/chinese-hackers-exploit-arcgis-server.html