UAC-0057 黑客组织利用武器化压缩包和进化型植入程序攻击乌克兰与波兰
法国网络安全公司HarfangLab最新报告披露,被追踪为UAC-0057(亦称为UNC1151、FrostyNeighbor或Ghostwriter)的威胁组织自2025年4月起,通过恶意压缩包对乌克兰和波兰发起两起相互关联的网络间谍活动。这些压缩包内含多阶段植入程序,旨在收集情报并建立持久访问权限。
HarfangLab表示:"我们发现自2025年4月起针对乌克兰和波兰的两组恶意压缩包,通过相似性可确认其关联性。"这些压缩包包含嵌有VBA宏的武器化Excel表格,宏代码会释放经过混淆处理的DLL植入程序。执行后,宏利用CAB解压和LNK文件执行等技术,通过regsvr32.exe或rundll32.exe加载有效载荷。
这些用C#或C++编写的植入程序使用ConfuserEx进行混淆,部分还采用UPX加壳,使其能作为第一阶段下载器运行。其功能包括收集系统数据(操作系统版本、主机名、CPU信息、杀毒软件详情及外部IP地址),并将数据外泄至伪装成合法域名的C2服务器。
7月样本感染链条 | 图片来源:HarfangLab
诱饵文档伪装一份乌克兰诱饵文档伪装成数字转型部的官方文件。HarfangLab指出:"我们在乌克兰数字转型部2025年4月17日发布的公告中发现了相同内容和格式。"波兰攻击中则复制了波兰共和国农村市政联盟的真实邀请函。
技术演进趋势报告揭示了攻击逻辑的演变:早期乌克兰样本直接将DLL写入%TEMP%目录,后期变种改用CAB文件并通过MacroPack进行分层混淆。植入程序将数据发送至隐藏在Cloudflare后、伪装成sweetgeorgiayarns.com等合法服务的C2端点。
HarfangLab解释:"尽管两起行动存在明显差异...但分析显示诸多共同点:持续使用武器化XLS表格、相似的LNK文件执行流程,以及跨行动相同的代码片段。"
新型C2通信方式针对波兰的变种实验性地采用Slack webhook进行C2通信,滥用免费版Slack工作区作为隐蔽数据外泄通道。更高级的变种还部署了Cobalt Strike Beacons,显示攻击者具备长期驻留和横向移动的能力。
组织背景溯源这些行动与先前报告的Ghostwriter活动高度相似。该组织长期从事符合白俄罗斯和俄罗斯安全利益的网络间谍与虚假信息活动。自2020年被Mandiant曝光针对北约的影响力行动以来,UAC-0057已扩展其武器库,包括持久性间谍植入程序和基础设施伪装技术。近期活动还显示该组织转向使用.icu和.online域名,延续其将恶意基础设施隐藏在看似合法前端的做法。
