文章总结： 俄系APT组织UAC-0184借Viber投递伪装议会质询的LNK钓鱼包，利用DLL侧载、模块踩踏、PNG隐写等多阶段链加载20余模块的HijackLoader，绕过主流EDR并植入RemcosRAT，意图窃取数万乌军人档案；用户应警惕社工诱饵、检查扩展名、更新行为检测并最小权限。 综合评分： 88 文章分类： 威胁情报,漏洞分析,恶意软件,红队,社会工程学

乌克兰议会遭俄罗斯APT组织UAC-0184精密网络钓鱼，数万军人档案面临泄露风险！

原创

紫队

AI紫队安全研究

2026年1月5日 12:02 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

攻击链复杂如谍战，背后黑手浮出水面

近日，紫队安全研究发现一起针对乌克兰最高拉达的精密网络钓鱼攻击。攻击者伪装成议会质询，内容涉及“军人档案篡改”和“阵亡赔偿拒付”等高度敏感议题，直指乌克兰军政核心关切。

社交工程精准诱骗

攻击者通过乌克兰普及的即时通讯软件Viber发送名为“А2393.zip”的恶意压缩包。压缩包内包含三个精心伪装的LNK文件，文件名极具迷惑性：

•   Zapit_iz_verhovnoi_radi.docx.lnk（来自最高拉达的质询）

•   Scan_zapitu_iz_verhovnoi_radi.rtf.lnk（最高拉达质询函扫描件）

•   Dodatok_do_zapitu.xlsx.lnk（质询函附件，含人员损失名单）

一旦点击，恶意LNK文件会从远程服务器下载PowerShell脚本，进而拉取名为smoothieks.zip的第二阶段载荷压缩包。

复杂的“谍中谍”攻击链

解压后的smoothieks.zip内含多个文件，攻击者采用了一套极为隐蔽的复杂攻击技术。

第一步：DLL侧加载（DLL Side-Loading）

压缩包中的合法程序CFlux.exe启动时，会优先加载同目录下的恶意CDWizard.dll。这是利用系统DLL搜索机制缺陷的经典白利用手法。

第二步：非标准控制流转移与模块踩踏

恶意DLL并非直接执行恶意代码，而是通过硬编码地址跳转到另一个合法DLL（SQLite.Interop.dll）的内部偏移处执行，有效规避静态检测。随后，攻击者实施Module Stomping技术：将解密出的Shellcode覆写至已加载的合法系统模块evr.dll的代码段中，使恶意代码在合法模块的内存空间内执行。

第三步：PNG隐写与二次注入

驻留在evr.dll中的Shellcode会读取数据文件Jabveak.qafy，该文件看似普通，实则利用PNG图片的IDAT数据块隐藏了经过加密的最终载荷。Shellcode会解析PNG结构，提取并拼接分散的数据块，进行XOR解密后，在内存中重组出完整的HijackLoader。

紧接着，攻击链再次使用Module Stomping，将HijackLoader覆写到另一个系统文件rasapi32.dll的内存空间，完成第二次注入，隐蔽性极强。

HijackLoader：拥有20余个模块的“间谍大师”

HijackLoader是一个功能复杂的加载器，内置超过20个功能模块，具备强大的反检测和持久化能力：

•   环境侦察：通过计算进程名CRC32哈希值，识别并规避卡巴斯基、Avast、Windows Defender等主流安全软件。

•   栈回溯伪造：敏感操作时修改栈帧，将调用伪装成来自CDWizard.dll，欺骗安全软件的检测。

•   持久化：通过创建Windows计划任务实现长期驻留。

•   动态配置：基于受害主机NetBIOS名动态生成环境变量名，使每次感染的特征唯一。

最终目标：植入Remcos远控木马

在经过重重伪装后，HijackLoader最终将臭名昭著的Remcos RAT注入到合法进程Chime.exe中执行。Remcos是一款功能全面的远程控制工具，常被攻击者滥用于窃密和远程控制，使攻击者能完全掌控受害机器。

归因研判：高置信度指向UAC-0184

结合高度针对性的诱饵主题、Viber作为初始投递渠道、以及LNK+Remcos工具集这一标志性组合，紫队安全研究以高置信度将此次攻击活动归因于与俄罗斯结盟的威胁组织UAC-0184。该组织长期专注于针对乌克兰的情报窃取活动。

安全建议

1.  强化意识：对即时通讯软件收到的压缩包和文件保持高度警惕，尤其是涉及敏感议题的。

2.  检查扩展名：注意检查文件真实扩展名，避免误点击LNK等快捷方式文件。

3.  加强防护：确保终端安全软件及时更新，并启用行为检测等功能。

4.  最小权限：对敏感岗位实行最小权限分配，减少攻击面。

此次攻击展现了国家级攻击组织的社会工程学精准度和技术复杂性。在当前的地缘政治背景下，相关领域的机构与人员需保持最高级别的网络安全警惕。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 紫队《乌克兰议会遭俄罗斯APT组织UAC-0184精密网络钓鱼，数万军人档案面临泄露风险！》