黑客利用 GHOSTYNETWORKS 和 OMEGATECH 托管 JS 恶意软件基础设施
2026年开春,全球企业邮箱安全防线遭遇新一轮严峻考验。从3月初开始,一波精心策划的恶意垃圾邮件浪潮悄然席卷能源、汽车制造、政府财政等多个关键领域。攻击者并未采用大规模撒网式策略,而是将矛头对准了乌克兰某大型快消品集团、俄罗斯炼油企业、波兰与德国的汽车制造商,甚至包括德涅斯特河沿岸共和国财政部这类行政机构。到了4月,第二波攻势变本加厉,金融机构成为重点猎杀对象,其背后敛财意图已昭然若揭。
Intrinsec安全团队的持续追踪揭开了这起事件的冰山一角。研究人员发现,支撑整个攻击行动的并非临时拼凑的廉价服务器,而是两套经过长期运营的自治系统网络——GHOSTYNETWORKS与OMEGATECH。情报显示,相关基础设施至少在2025年年中便已投入运转,这意味着攻击者拥有充足的资源与时间窗口来打磨战术。
此次行动的技术核心是一种高度混淆的JavaScript后门程序。攻击者将恶意脚本藏匿于ZIP或RAR压缩包内,通过钓鱼邮件附件投递。一旦收件人解压并执行文件,后门立即激活,向远程命令与控制服务器回传系统信息。与传统恶意软件不同,它刻意避开常见端口,转而使用2002、2004、7273等非标准端口建立通信链路,同时伪装成过时的Internet Explorer用户代理字符串,让流量看起来像是普通的浏览器活动。每台受感染主机都会被分配唯一标识符,便于攻击者实施持续性监控与差异化操控。
经济驱动型网络犯罪正在呈现明显的升级态势。美国联邦调查局数据显示,仅2025年一年,商业电子邮件泄露造成的直接经济损失便突破30亿美元大关。本轮攻击的靶标选择也印证了这一趋势——小国家财政部、区域性金融机构往往预算吃紧,邮件网关与终端防护相对薄弱,反而成为黑客眼中的"软柿子"。
深入溯源后,两套托管网络的真面目逐渐浮出水面。GHOSTYNETWORKS,自治系统号AS205759,2026年1月在肯塔基州完成注册。其公布的六个网络前缀中,目前已有四个被Spamhaus列入滥用名单,评级机构将其定性为"服务于全球网络犯罪活动的顽固网络"。Intrinsec通过关联分析,高度确信该网络与此前已停运的OPTIBOUNCE存在直接渊源,两者不仅注册地相同,且均与防弹主机服务商AnonRDP有历史交集。更令人警惕的是,名为Daniel Mishayev的组织者出现在多家肯塔基州注册公司的登记信息中,而这些公司旗下的网络段持续被标记为滥用。仅2026年3月,安全蜜罐便从GHOSTYNETWORKS网段捕获超过三万次网络攻击尝试。
另一关键节点OMEGATECH,自治系统号AS202412,注册地位于塞舌尔,实际承担了JavaScript后门的命令与控制域名托管以及第二路垃圾邮件发送任务。Spamhaus情报将其认定为俄罗斯防弹主机提供商Virtualine的又一幌子,后者长期在地下黑客论坛公开招揽生意。2026年3月的蜜罐数据显示,源自OMEGATECH IP地址的网络攻击次数高达六十四万二千余次,恶意利用程度触目惊心。
面对此类威胁,企业安全团队亟需收紧邮件入口策略。首要措施便是在网关层直接拦截.js、.jse、.mjs等可执行脚本附件,同时对ZIP、ISO、RAR等可能内嵌脚本的容器文件实施深度检测。终端侧应当启用应用程序白名单机制,严格限制wscript与cscript仅在受信任路径下运行,阻断脚本类载荷的落地执行。高级邮件安全网关的部署同样不可或缺,其动态沙箱与行为分析能力能够在钓鱼邮件抵达用户收件箱前完成风险甄别。
技术手段之外,人的因素仍是决定性防线。定期开展的钓鱼演练与安全意识培训,能够帮助员工在点击附件前养成二次确认的习惯。网络边界层面,建议在防火墙策略中直接屏蔽已知防弹主机自治系统的网络前缀,从源头掐断恶意回连通道。
以下IoC清单可供安全运营团队导入威胁情报平台或SIEM系统,用于内部流量狩猎与边界防护:
自治系统
ASN 205759 — GHOSTYNETWORKS
ASN 202412 — OMEGATECH
IPv4地址
83.142.209[.]64 — 垃圾邮件发送
91.92.243[.]79 — 垃圾邮件发送及JS后门C2
158.94.211[.]76 — JS后门C2
域名
mail.talruit[.]com — 垃圾邮件发送
talruit[.]com — 垃圾邮件发送
scan.aryamint[.]com — JS后门C2
aryamint[.]com — JS后门C2
mpwirerope[.]com — 垃圾邮件发送
ethara[.]org — 关联威胁基础设施
文件哈希(SHA-256)
794fab796e48f97e976d99157913ab5beee5ae8ef2731bf2af2222ae5b6a1c65 — JS后门(QUOTE_B0426.js)
ac842e4adb445a76aad135828d56116858a1b7d37b4a103f493e175816df9bb2 — JS后门(PO 03603.zip)
33713a3650a3c1d64045c3832835dcacef92ad4f09c030fbe674454266880fea — JS后门(PO 26683.js)
7277f4dfb26a53f8ee47cac051a82f6709e07b6603f26ff3987cc64a137e07dc — JS后门(PO8767.rar)
232a179daf4db527c062b609ebb5f19310eea8f5c80afce6f763f5841110aed8 — JS后门(PO8767.js)
注:上述IP与域名中的分隔符已做去活化处理,请仅在受控威胁情报环境(如MISP、VirusTotal或内部SIEM)中还原使用,避免意外解析或触发访问。
当前网络犯罪产业化程度日益加深,从恶意软件开发到防弹主机租赁,再到定向钓鱼投递,攻击链条上的每个环节都已形成成熟分工。企业若想在2026年的复杂威胁态势中守住阵地,必须在邮件边界、终端行为、网络分段与人员意识四个维度同步发力,缺一不可。