Palo Alto Networks 旗下的 Unit 42 於 2025 年 12 月 10 日宣布,他們在 2025 年 6 月在亞太地區發現了一種名為「01flip」的新型勒索軟體,該軟體完全使用 Rust 程式語言編寫。這種勒索軟體利用了 Rust 的交叉編譯功能,並同時支援 Windows 和 Linux 平台。
第 42 單元正在追蹤此活動,編號為 CL-CRI-1036。受害者包括東南亞地區負責關鍵基礎設施的組織,菲律賓和台灣地區也證實有受害者。攻擊者於 2025 年 4 月初開始利用 CVE-2019-11580 等漏洞,5 月部署了 Sliver 框架,隨後傳播勒索軟體。
01flip 使用 AES-128-CBC 和 RSA-2048 加密,攻擊者要求 1 個比特幣作為解密贖金。勒索軟體部署後的第二天,受害者就在暗網論壇上發布了資料外洩的資訊。
從: 
01flip:用 Rust 寫的多平台勒索軟體
【社論】
新發現的 01flip 勒索軟體的一個顯著特點是它使用 Rust 編寫,Rust 是一種相對較新的程式語言。自 2021 年 BlackCat (ALPHV) 出現以來,使用 Rust 開發惡意軟體已成為一種顯著趨勢。
攻擊者為何選擇 Rust?原因在於其技術優勢。 Rust 兼顧了記憶體安全性和高效能,並且具有交叉編譯特性,允許將同一份原始碼編譯成適用於多個平台的程式碼。這使得攻擊者能夠比以往更有效率地同時針對 Windows 和 Linux 發動攻擊。
更重要的是,用 Rust 編寫的惡意軟體難以分析。 Rust 編譯器產生的彙編程式碼比傳統的 C/C++ 程式碼更複雜,這使得安全分析師進行逆向工程的難度大大增加。事實上,01flip 的 Linux 版本在提交給 VirusTotal 後的三個月內檢測率均為零。
這次攻擊手法也值得關注。攻擊者利用了2019年的一個舊漏洞CVE-2019-11580,然後使用名為Sliver的公開框架擴大了入侵範圍。這種舊漏洞與現代技術的結合再次凸顯了修補程式管理的重要性。
01flip 有一個有趣的技術特性:它將「lockbit」副檔名包含在其加密排除清單中,這可能暗示與 LockBit 勒索軟體存在某種聯繫,但目前這純粹是猜測。
雖然這次攻擊造成的損失目前有限,但其目標是東南亞的關鍵基礎設施,這一點不容忽視。此外,受害機構的資料外洩在勒索軟體部署後的第二天就被發佈到暗網上,這表明可能存在雙重勒索,即資料竊取和加密相結合。
[術語]
Rust(程式語言)
一種於 2015 年發布的系統程式語言。它兼顧了記憶體安全性和高效能,並支援跨平台開發。由於其能夠產生難以分析的複雜二進位文件,因此對惡意軟體開發者極具吸引力。
勒索軟體<br>惡意軟體會加密文件,使其無法使用,並索取贖金才能解密。近年來,「雙重勒索」變得越來越普遍,資料不僅被加密,而且還被竊取,然後以洩漏資料為威脅。
交叉編譯<br>一種技術,可讓你從單一原始碼產生適用於不同平台(Windows、Linux 等)的可執行檔。 Rust 在這方面表現出色,使得開發支援多個平台的惡意軟體變得更加容易。
CVE-2019-11580
Atlassian Crowd Server 存在一個漏洞。這是一個嚴重的漏洞,允許遠端程式碼執行,攻擊者經常利用此漏洞進行初始入侵。
銀
這是一個用 Go 語言編寫的、公開可用的跨平台攻擊者模擬(滲透測試)框架。它最初是為合法的安全測試目的而開發的,但也可能被攻擊者濫用。
AES-128-CBC
CBC 是一種高級加密標準 (AES) 的分組密碼,使用 128 位元金鑰。 CBC 代表密碼塊連結 (Cipher Block Chaining),是一種加密模式。勒索軟體廣泛使用 CBC 來加密文件。
RSA-2048
公鑰加密採用 2048 位元密鑰長度。這是一種非對稱加密演算法,勒索軟體使用它來加密 AES 會話金鑰。
TCP樞軸
一種中繼技術,允許攻擊者在滲透網路後存取原本無法直接存取的內部網路區段。這是 Sliver 框架的特性之一。
鎖比特
該組織名為 Flighty Scorpius,是最活躍的勒索軟體即服務 (RaaS) 組織之一。它使用 C/C++ 而非 Rust 編寫,但以其快速的加密速度而聞名。
雙重勒索
這種方法不僅會對數據進行加密,還會威脅公開被盜數據,如果不支付贖金,受害者的機密資訊就有可能洩露。
RaaS(勒索軟體即服務)
一種以服務形式提供勒索軟體的商業模式,其中開發者提供技術,聯盟成員(執行攻擊的人)提供收入,並進行收入分成。
暗網論壇<br>高度匿名的網路留言板,無法使用普通瀏覽器存取。網路犯罪分子在這些地方出售被盜資料和交易惡意軟體。
Zimbra 伺服器
企業的開源電子郵件和協作解決方案,提供電子郵件伺服器、行事曆、聯絡人管理等功能。
[參考連結]
Palo Alto Networks 第 42 單元(外部)
Palo Alto Networks 的威脅情報團隊負責調查、分析和報告網路攻擊。
Cortex XDR (外部)
Palo Alto Networks 的擴展偵測和回應平台,統一了端點、網路和雲端保護。
高級野火(外部)
Palo Alto Networks 的雲端威脅分析服務能夠偵測和分析未知惡意軟體。
Rust 程式語言(外部資源)
Rust 程式語言的官方網站,提供語言規格、文件、開發工具等。
Sliver C2 框架(外部)
由 BishopFox 開發的開源跨平台對抗性模擬框架。
VirusTotal (外部)
谷歌旗下的惡意軟體掃描服務,可以同時使用多個防毒引擎掃描檔案。
MITRE ATT&CK 框架(外部)
一個整理網路攻擊策略、技術和流程的知識庫。一個標準的威脅分析框架。
[參考文章]
基於 Rust 的 01flip 勒索軟體攻擊 Windows 和 Linux 系統(外部連結)
解釋了01flip的技術特性。報告稱,Linux版本在大約三個月內未被發現。
新型 01Flip 勒索軟體同時攻擊 Windows 和 Linux 系統(外部)
對 LockBit 擴充加密排除項和雙層加密機制進行詳細分析。
為什麼勒索軟體組織會轉而使用 Rust 程式語言? (外部連結)
分析自 BlackCat 以來 Rust 的採用趨勢,並解釋其高效的記憶體管理等技術優勢。
揭秘 RIFT:增強 Rust 惡意軟體分析(外部)
我們將介紹微軟的 Rust 惡意軟體分析工具 RIFT,並示範分析它的難度。
BlackCat勒索軟體的多種生命週期(外部連結)
對 BlackCat(第一個採用 Rust 的主要勒索軟體)及其主要關聯方的發展趨勢進行了詳細分析。
[編者註]
網路安全領域攻擊者和防禦者之間持續進行著貓捉老鼠的遊戲,而這款最新的基於 Rust 的勒索軟體表明,技術進步並不總是站在我們這邊。
您的組織是否認真地修補了舊的漏洞?這次攻擊利用的是2019年的一個漏洞。雖然很容易被最新的威脅分散注意力,但建立在基礎安全措施之上的堅實防禦體係可能是最有效的防禦手段。
這也凸顯了跨平台相容性的重要性。您的環境中是否部署了全面的防禦系統,不僅涵蓋 Windows 環境,也涵蓋 Linux 環境?
