每周威胁情报：Codespaces RCE、AsyncRAT C2、BYOVD 攻击与云入侵解析

开发者、云与身份生态系统中的隐蔽威胁趋势浮现

本周，安全研究人员发现多个低调但影响深远的攻击向量，显示出攻击者战术的不断演变。与单一主导威胁不同，分析人员观察到一系列源自日常运营组件的入侵事件——包括开发者工作流、远程管理工具、云访问路径及身份管理系统——展示了攻击者如何越来越多地利用看似平凡却至关重要的基础设施。

近期威胁研究中的技术亮点

1. GitHub Codespaces 远程代码执行（RCE）漏洞

研究人员披露了 GitHub Codespaces（一种基于云的开发环境）中的一个漏洞，该漏洞可能导致远程代码执行（RCE）。若被利用，攻击者可通过操纵环境配置或滥用暴露的端口，入侵开发者工作站。虽然目前尚未确认活跃的攻击事件，但这一发现凸显了集成开发环境（IDE）和基于云的编码平台所面临的风险。

2. AsyncRAT 命令与控制（C2）基础设施

威胁情报团队绘制了 AsyncRAT（一种广泛使用的远程访问木马）的命令与控制（C2）基础设施。研究发现，该恶意软件的 C2 服务器利用动态 DNS、快速流量变换（fast-flux）技术及加密通信来规避检测。AsyncRAT 仍被广泛部署于钓鱼攻击、供应链攻击及多阶段入侵中的二次负载。

3. 自带易受攻击驱动程序（BYOVD）滥用

攻击者越来越多地滥用已签名的易受攻击驱动程序（即“自带易受攻击驱动程序”或 BYOVD 攻击），以绕过安全控制。通过将合法但存在缺陷的驱动程序加载到内核，威胁行为者可获取提升的权限、禁用终端防护并维持持久化。近期的攻击活动已针对来自受信任供应商的驱动程序，利用了驱动程序签名策略的弱点及终端检测的盲区。

4. AI 与云环境因配置错误导致的入侵事件

多起事件报告显示，由于身份与访问管理（IAM）策略配置错误，攻击者得以未经授权访问 AI 和云环境。攻击者利用权限过大的服务账户、弱 API 身份验证及未受监控的云存储桶（bucket）窃取数据或部署恶意负载。这些入侵事件凸显了云原生开发及 AI 模型部署管道中的系统性风险。

影响分析：为何这些趋势值得关注

攻击者转向利用日常运营组件，反映了网络威胁战术的广泛演变。与依赖高调的零日漏洞或喧嚣的勒索软件不同，攻击者越来越多地：

• 针对开发者和 DevOps 工具，以入侵软件供应链。
• 滥用合法管理工具（如 RAT、驱动程序），以规避检测。
• 利用身份与云配置错误，在混合环境中横向移动。

这些方法更难被检测，因为它们混杂于正常的网络流量和工作流中。云安全态势不成熟、驱动程序签名策略薄弱或开发者环境缺乏监控的组织尤其容易受到攻击。

安全团队建议

• 审计并强化云开发环境（如 GitHub Codespaces、GitLab Workspaces），通过实施最小权限访问、启用日志记录及限制暴露端口来加固安全。
• 监控 BYOVD 攻击，通过实施驱动程序阻止列表、强化驱动程序签名策略及部署内核级监控工具来应对。
• 狩猎 AsyncRAT 及类似 RAT，利用网络流量分析、行为检测规则及 C2 基础设施阻止列表进行检测。
• 审查 IAM 与云配置，消除权限过大的账户、强制实施多因素身份验证（MFA）并启用持续云安全态势管理（CSPM）。
• 增强对低速隐蔽入侵的检测能力，通过关联终端、云服务及身份提供商的日志，识别异常行为模式。

随着攻击者不断改进其技术，安全团队必须优先提升对看似无害的运营组件的可见性——下一波入侵可能已经在悄然进行。