【安全圈】俄罗斯关联黑客滥用Viber攻击乌克兰军方和政府机构

admin 2026-01-07 02:27:40 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 俄系团伙UAC-0184/Hive0156借Viber向乌军政目标投递含LNK的ZIP,LNK伪文档诱点击后PowerShell拉取二阶ZIP,内存侧载HijackLoader绕过杀软,注入chime.exe植入RemcosRAT持久化窃密,战术已演进到利用主流即时通讯且多阶段无文件化,建议禁用无关IM、监控LNK执行与PowerShell出站流量。 综合评分: 78 文章分类: 威胁情报,恶意软件,漏洞分析,社会工程学,红队


cover_image

【安全圈】俄罗斯关联黑客滥用 Viber 攻击乌克兰军方和政府机构

安全圈

2026年1月6日 19:01 江苏

关键词

恶意压缩包

据观察,与俄罗斯相关的威胁行为者UAC-0184一直在利用Viber即时通讯平台投递恶意ZIP压缩包,以此针对乌克兰军方和政府实体

“该组织在2025年持续对乌克兰军方和政府部门进行高强度情报搜集活动”。

该黑客组织也被追踪为Hive0156,主要以在网络钓鱼邮件中利用战争主题诱饵,在针对乌克兰实体的攻击中投递Hijack Loader而闻名。该恶意软件加载器随后会成为感染Remcos远程访问木马的途径。

该威胁行为者最早由乌克兰计算机应急响应小组于2024年1月初记录。随后的攻击活动被发现利用Signal和Telegram等即时通讯应用作为恶意软件的传播载体。中国安全厂商的最新发现表明,这一战术得到了进一步演化。

攻击链包括将Viber用作初始入侵向量,分发包含多个Windows快捷方式文件的恶意ZIP压缩包。这些LNK文件伪装成Microsoft Word和Excel官方文档,以诱骗接收者打开它们。

这些LNK文件旨在向受害者展示一个诱饵文档以降低其怀疑,同时在后台通过PowerShell脚本从远程服务器获取第二个ZIP压缩包,从而静默执行Hijack Loader。

攻击通过一个多阶段过程在内存中重构并部署Hijack Loader,该过程采用了DLL侧加载和模块堆叠等技术来规避安全工具的检测。随后,该加载器通过计算相应程序的CRC32哈希值,扫描环境中安装的安全软件,例如卡巴斯基、Avast、BitDefender、AVG、Emsisoft、Webroot和微软的相关产品。

除了通过计划任务建立持久性外,该加载器还在通过将其注入”chime.exe”进程来隐蔽执行Remcos RAT之前,采取措施破坏静态签名检测。这款远程管理工具使攻击者能够管理终端、执行负载、监控活动并窃取数据。

“尽管作为合法的系统管理软件进行营销,但其强大的侵入能力使其经常被各种恶意攻击者用于网络间谍和数据窃取活动”,”通过Remcos提供的图形用户界面控制面板,攻击者可以对受害者的主机进行批量自动化管理或精确的手动交互操作。”

END

阅读推荐

【安全圈】《英雄联盟》证书过期登热搜!草台班子闯大祸?

【安全圈】黑客入侵员工网络时落入Resecurity蜜罐陷阱

【安全圈】自传播恶意软件GlassWorm利用VS Code扩展攻击macOS用户

【安全圈】别乱用!下载的Skills竟成后门,聊聊Skills不为人知的安全风险

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】俄罗斯关联黑客滥用 Viber 攻击乌克兰军方和政府机构》

评论:0   参与:  0