UAC-0057黑客组织利用武器化压缩包和进化型植入程序攻击乌克兰与波兰
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
法国HarfangLab报告指出,自2025年4月起,网络威胁组织UAC-0057通过恶意压缩包对乌克兰和波兰进行网络间谍活动,利用VBA宏和混淆DLL植入程序收集情报,并伪装成合法文件,显示出其长期驻留能力的演进。
🎯
关键要点
- 法国HarfangLab报告指出,自2025年4月起,UAC-0057组织通过恶意压缩包对乌克兰和波兰进行网络间谍活动。
- 这些压缩包包含多阶段植入程序,利用VBA宏和混淆DLL收集情报并建立持久访问权限。
- 攻击手法包括使用武器化Excel表格和混淆的DLL,利用CAB解压和LNK文件执行等技术。
- 乌克兰诱饵文档伪装成官方文件,波兰攻击则复制真实邀请函。
- 攻击逻辑演变显示早期样本直接写入%TEMP%目录,后期变种使用CAB文件和MacroPack进行分层混淆。
- 针对波兰的变种使用Slack webhook进行C2通信,显示攻击者具备长期驻留和横向移动能力。
- UAC-0057与Ghostwriter活动高度相似,长期从事符合白俄罗斯和俄罗斯安全利益的网络间谍与虚假信息活动。
- 该组织扩展了武器库,包括持久性间谍植入程序和基础设施伪装技术,近期活动使用.icu和.online域名。
➡️
