StealC 竊密木馬控制面板漏洞：當攻擊者成為受害者

在資安防禦的博弈中，我們通常關注如何防範惡意軟體的入侵。然而，最近 CyberArk 研究團隊揭露的一起案例展現了另一種可能性：利用攻擊者工具本身的漏洞進行「反向溯源」。知名惡意軟體即服務（MaaS）平台 StealC 的控制面板被發現存在低級的網頁安全漏洞，讓安全研究人員得以劫持攻擊者的會話，進而獲取其硬體指紋、真實地理位置及攻擊行動情報。

StealC 的崛起與 MaaS 運作模式

StealC 是一款自 2023 年初在暗網論壇崛起的竊密木馬（Information Stealer）。它以「惡意軟體即服務」（Malware-as-a-Service）的模式運作，開發者負責維護核心代碼、C2（命令與控制）後台面板與構建器，並將其租賃給下游的「分銷商」使用。這些分銷商通常利用 YouTube 影片傳播破解軟體（如 Adobe Photoshop、After Effects）或遊戲外掛，誘使受害者下載並執行惡意程式 (網易)。

StealC 的強大之處在於其高度自定義的規則引擎，能精準竊取瀏覽器 Cookie、密碼、加密貨幣錢包以及 Discord、Telegram 等通訊軟體的憑證。然而，隨著 2024 年 4 月其管理面板原始碼的意外洩露，這款原本隱蔽的工具被攤在了陽光下，供資安研究人員進行深度分析。

致命缺陷：存儲型 XSS 與 HttpOnly 缺失

CyberArk 的研究人員 Ari Novick 在分析洩露的原始碼時，發現 StealC 的 Web 控制面板存在一個典型的存儲型跨站腳本漏洞（Stored XSS）。

當 StealC 木馬感染受害者後，會將受害者的系統資訊、硬體指紋及竊取到的數據回傳至 C2 伺服器。問題在於，StealC 面板在渲染這些數據供攻擊者查看時，並未進行充分的輸入過濾與輸出轉義（Sanitization & Encoding）。研究人員發現，只要偽造一個「受害者樣本」，並在回傳的欄位中植入惡意的 JavaScript 代碼，當攻擊者登錄後台查看該受害者的日誌時，代碼就會在攻擊者的瀏覽器中自動執行 (cn-sec)。

更令資安專家感到驚訝的是，作為一個專門竊取他人 Cookie 的軟體，StealC 的開發者竟然未能在其自身的管理面板中為會話 Cookie 設置 HttpOnly 標誌。這意味著透過上述的 XSS 漏洞，研究人員可以輕易地利用 document.cookie 提取攻擊者的 Session Cookie，進而實現無密鑰的會話劫持（Session Hijacking）。

實戰溯源：揭開「YouTubeTA」的真面目

研究人員鎖定了一名代號為「YouTubeTA」的活躍攻擊者。該客戶在 2025 年期間運行了大規模的惡意活動，收集了超過 5,000 條受害者日誌，並竊取了約 39 萬個密碼與高達 3,000 萬個 Cookie。透過劫持該攻擊者的面板會話，研究團隊成功獲取了以下關鍵情報：

硬體指紋：攻擊者使用的是搭載 Apple M3 晶片的 macOS 系統。
地理位置：雖然攻擊者通常使用 VPN，但由於其偶爾的疏忽，研究人員捕捉到了其真實 IP 地址，指向烏克兰的 ISP 服務商 TRK Cable TV。
系統設置：其系統語言設置為英語和俄語，且時區顯示為東歐時區。

這種「黑吃黑」的技術手段，不僅中斷了攻擊者的活動，更為執法部門提供了寶貴的物理定位數據與行為模式證據 (網易, BleepingComputer)。

技術總結與防禦建議

此案例再次證明了「安全軟體不一定安全」。即使是專門開發攻擊工具的犯罪份子，也會在基礎的 Web 安全實踐（如 XSS 防護、Cookie 安全屬性）上翻車。對於企業 IT 與資安人員，此事件帶來的啟發如下：

輸入驗證是核心：無論是內部系統還是面向大眾的 Web 應用，對所有不可信來源的輸入數據進行轉義是預防 XSS 的不二法門。
深度防禦（Defense in Depth）：啟用 HttpOnly、Secure 以及 SameSite 屬性是保護 Web 會話的基本門檻，能極大程度降低 XSS 帶來的損害。
MaaS 的雙刃劍：雖然 MaaS 降低了犯罪門檻，但其集中的基礎設施也成為了單點故障（Single Point of Failure）。一旦核心代碼或面板存在漏洞，所有使用該服務的攻擊者都面臨暴露風險。

MITRE ATT&CK 對應

T1588.002 – Obtain Capabilities: Malware (獲取 StealC 木馬能力)
T1059.007 – Command and Scripting Interpreter: JavaScript (利用 XSS 執行腳本)
T1539 – Steal Web Session Cookie (竊取會話 Cookie 以劫持面板)
T1589.002 – Gather Victim Identity Information: Digital Certificates/Identities (收集攻擊者硬體指紋與地理位置)