中國駭客瞄準缺乏 EDR 防護邊界設備 藉 Brickstorm 後門潛伏 18 個月

中國駭客瞄準缺乏 EDR 防護邊界設備 藉 Brickstorm 後門潛伏 18 個月

2026/06/15

資安業者揭露,中國相關駭客組織在一起長期入侵事件中,將惡意程式植入企業邊界與基礎設施設備,再利用 Brickstorm 後門的代理連線能力與遭竊憑證,潛伏長達 18 個月並存取受害組織的 Microsoft 365 環境。

資安研究揭露,一個與中國相關的駭客組織在一起長期入侵事件中,將惡意程式放置於企業的邊界與基礎設施設備上,再利用 Brickstorm 後門所提供的代理連線能力與遭竊取的憑證,存取受害組織的 Microsoft 365 環境。該組織在受害網路中潛伏的時間長達 18 個月之久,凸顯了邊界設備防護不足所帶來的嚴重風險。

此案的攻擊手法值得高度警惕。駭客選擇將惡意程式部署在企業網路的邊界與基礎設施設備上,而非一般端點。由於這類設備往往缺乏端點偵測與回應(EDR)防護的覆蓋,因此能夠長期躲避偵測。透過 Brickstorm 後門的代理連線能力,攻擊流量被偽裝得更像是來自企業內部網路,進而避開原本用來限制外部登入的條件式存取政策。

這種「化整為零、由內而外」的攻擊策略,正是當前進階持續性威脅(APT)的典型特徵。業界分析人士指出,攻擊者結合遭竊憑證與代理連線,使惡意活動難以與正常的內部存取區分,大幅提高了偵測與調查的難度。長達 18 個月的潛伏期,意味著受害組織的敏感資料可能早已長期暴露於風險之中。

對企業資安防護而言,此案敲響了警鐘。傳統上,企業多將資安資源集中於端點與伺服器,卻忽略了路由器、VPN、防火牆等邊界設備的監控。這些設備一旦失守,往往成為駭客長期潛伏的理想跳板。

展望防護方向,企業應重新檢視邊界設備的安全管理,包括強化憑證保護、落實多因素驗證、加強網路流量的異常偵測,並將邊界設備納入整體資安監控範圍。在攻擊手法日益精密的當下,補強這塊長期被忽視的防線刻不容緩。