UAC-0057黑客组织利用武器化压缩包和进化型植入程序攻击乌克兰与波兰
内容提要
法国HarfangLab报告指出,自2025年4月起,网络威胁组织UAC-0057通过恶意压缩包对乌克兰和波兰进行网络间谍活动,利用VBA宏和混淆DLL植入程序收集情报,并伪装成合法文件,显示出其长期驻留能力的演进。
关键要点
-
法国HarfangLab报告指出,自2025年4月起,UAC-0057组织通过恶意压缩包对乌克兰和波兰进行网络间谍活动。
-
这些压缩包包含多阶段植入程序,利用VBA宏和混淆DLL收集情报并建立持久访问权限。
-
攻击手法包括使用武器化Excel表格和混淆的DLL,利用CAB解压和LNK文件执行等技术。
-
乌克兰诱饵文档伪装成官方文件,波兰攻击则复制真实邀请函。
-
攻击逻辑演变显示早期样本直接写入%TEMP%目录,后期变种使用CAB文件和MacroPack进行分层混淆。
-
针对波兰的变种使用Slack webhook进行C2通信,显示攻击者具备长期驻留和横向移动能力。
-
UAC-0057与Ghostwriter活动高度相似,长期从事符合白俄罗斯和俄罗斯安全利益的网络间谍与虚假信息活动。
-
该组织扩展了武器库,包括持久性间谍植入程序和基础设施伪装技术,近期活动使用.icu和.online域名。
延伸解读
攻击手法的复杂性
UAC-0057组织的攻击手法显示出高度的复杂性和演变能力。通过使用武器化的Excel表格和混淆的DLL,攻击者能够有效地隐藏其恶意代码。这种多阶段的植入程序不仅能收集系统信息,还能建立持久的访问权限,给受害者带来长期的安全隐患。
伪装策略的有效性
该组织通过伪装成合法文件来诱骗用户,显示出其对目标国家文化和行政流程的深入了解。例如,乌克兰的诱饵文档模仿官方公告,而波兰则使用真实的邀请函。这种策略不仅提高了攻击的成功率,也使得受害者更难以识别潜在威胁。
长期驻留与横向移动能力
UAC-0057的攻击活动表明其具备长期驻留和横向移动的能力,尤其是通过使用Slack webhook进行C2通信。这种隐蔽的通信方式使得攻击者能够在不被发现的情况下持续获取信息,增加了网络防御的难度。
延伸问答
UAC-0057组织的主要攻击手法是什么?
UAC-0057组织主要通过恶意压缩包,利用VBA宏和混淆DLL植入程序进行网络间谍活动。
UAC-0057组织的目标国家有哪些?
UAC-0057组织的目标国家包括乌克兰和波兰。
UAC-0057组织的攻击逻辑是如何演变的?
攻击逻辑从早期直接写入%TEMP%目录,演变为使用CAB文件和MacroPack进行分层混淆。
UAC-0057组织与Ghostwriter活动有什么相似之处?
UAC-0057组织的行动与Ghostwriter活动高度相似,均涉及符合白俄罗斯和俄罗斯安全利益的网络间谍与虚假信息活动。
UAC-0057组织使用了哪些技术来隐藏其恶意活动?
该组织使用了伪装成合法域名的C2服务器,并采用了Cloudflare隐藏其通信。
UAC-0057组织的植入程序具有什么功能?
植入程序能够收集系统数据并将其外泄至伪装成合法域名的C2服务器。
