UAC-0057黑客组织利用武器化压缩包和进化型植入程序攻击乌克兰与波兰
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
法国HarfangLab报告指出,自2025年4月起,网络威胁组织UAC-0057通过恶意压缩包对乌克兰和波兰进行网络间谍活动,利用VBA宏和混淆DLL植入程序收集情报,并伪装成合法文件,显示出其长期驻留能力的演进。
🎯
关键要点
- 法国HarfangLab报告指出,自2025年4月起,UAC-0057组织通过恶意压缩包对乌克兰和波兰进行网络间谍活动。
- 这些压缩包包含多阶段植入程序,利用VBA宏和混淆DLL收集情报并建立持久访问权限。
- 攻击手法包括使用武器化Excel表格和混淆的DLL,利用CAB解压和LNK文件执行等技术。
- 乌克兰诱饵文档伪装成官方文件,波兰攻击则复制真实邀请函。
- 攻击逻辑演变显示早期样本直接写入%TEMP%目录,后期变种使用CAB文件和MacroPack进行分层混淆。
- 针对波兰的变种使用Slack webhook进行C2通信,显示攻击者具备长期驻留和横向移动能力。
- UAC-0057与Ghostwriter活动高度相似,长期从事符合白俄罗斯和俄罗斯安全利益的网络间谍与虚假信息活动。
- 该组织扩展了武器库,包括持久性间谍植入程序和基础设施伪装技术,近期活动使用.icu和.online域名。
❓
延伸问答
UAC-0057组织的主要攻击手法是什么?
UAC-0057组织主要通过恶意压缩包,利用VBA宏和混淆DLL植入程序进行网络间谍活动。
UAC-0057组织的目标国家有哪些?
UAC-0057组织的目标国家包括乌克兰和波兰。
UAC-0057组织的攻击逻辑是如何演变的?
攻击逻辑从早期直接写入%TEMP%目录,演变为使用CAB文件和MacroPack进行分层混淆。
UAC-0057组织与Ghostwriter活动有什么相似之处?
UAC-0057组织的行动与Ghostwriter活动高度相似,均涉及符合白俄罗斯和俄罗斯安全利益的网络间谍与虚假信息活动。
UAC-0057组织使用了哪些技术来隐藏其恶意活动?
该组织使用了伪装成合法域名的C2服务器,并采用了Cloudflare隐藏其通信。
UAC-0057组织的植入程序具有什么功能?
植入程序能够收集系统数据并将其外泄至伪装成合法域名的C2服务器。
➡️
