2025年APTUAC-0184(疑似大鹅)通过Viber投放恶意ZIP文件进行间谍活动攻击乌克兰军方和政府机构

admin
admin
admin
0
文章
0
评论
2026-01-07 02:42:43 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 疑似俄背景APTUAC-0184借Viber向乌克兰军政高层投递A2393.zip,LNK诱导运行PowerShell,侧载CFlux.exe加载HijackLoader并注入RemcosRAT,可远控窃密;攻击聚焦篡改军档与拒发抚恤金议题,预计2025持续活跃,建议强化Viber附件管控、端点加固与安全意识。 综合评分: 87 文章分类: 威胁情报,漏洞分析,恶意软件,APT,移动安全

cover_image

2025 年APT UAC-0184 (疑似大鹅)通过 Viber投放恶意 ZIP 文件进行间谍活动攻击乌克兰军方和政府机构

原创

ZM

暗镜

2026年1月6日 09:12 北京

与俄罗斯有关联的威胁行为者UAC-0184(又名 Hive0156)正在以乌克兰军方和政府实体为目标,利用 Viber 消息传递恶意 ZIP 文件,作为 2025 年持续情报收集行动的一部分。

“360高级威胁研究所的最新监测数据显示,UAC-0184组织对乌克兰最高拉达(议会)发起了一场网络钓鱼攻击活动,目标是篡改乌克兰军人档案和拒绝向阵亡者支付赔偿金等敏感问题。” 360高级威胁研究所发布的报告如此写道。

360高级威胁研究所观察到UAC-0184针对乌克兰最高拉达发起了一场网络钓鱼攻击。该APT组织利用了诸如军事人员记录变更和拒绝向阵亡士兵提供赔偿等敏感信息。预计该组织将在2025年之前持续对乌克兰军方和政府机构进行密集的情报窃取活动,因此建议加强安全意识、加密和访问控制。

此次攻击活动利用 Viber 作为初始访问途径,发送伪装成乌克兰议会官方文件的恶意 ZIP 压缩文件(A2393.zip)。

一旦提取出来,受害者就会看到欺骗性的 LNK 快捷方式,这些快捷方式伪装成与乌克兰最高拉达(议会)的询问和军事伤亡数据相关的 DOCX、RTF 和 XLSX 文件。

文件打开后,会启动一个多步骤的感染过程,旨在逃避检测。一个 PowerShell 脚本会下载更多恶意文件,利用一个合法的程序 (CFlux.exe) 秘密加载恶意软件,并显示虚假文档来分散受害者的注意力,最终安装 HijackLoader 和Remcos RAT。

UAC-0184 主要使用两种第一阶段感染方法:恶意 LNK 文件和 PowerShell 脚本。两者都会在隐蔽执行 HijackLoader 链的同时显示诱饵文档,但传播方式不同。LNK 攻击需要两次 C2 请求来获取诱饵文档和恶意 ZIP 文件,而 PowerShell 攻击只需一次请求即可同时传播两者。在本案例中,LNK 文件启动了一个 PowerShell 脚本,该脚本下载并解压 smoothieks.zip 文件,执行合法的 CFlux.exe 程序,并打开一个诱饵文档。CFlux.exe 程序侧载了一个恶意 DLL,该 DLL 使用非标准控制流直接跳转到 SQLite.Interop.dll 以逃避分析。恶意软件解密嵌入的数据,利用模块篡改技术替换合法 DLL 中的代码,并将 shellcode 注入内存。它从隐藏在 PNG 结构中的加密数据重建最终有效载荷,最终部署 HijackLoader 程序,并包含后续阶段所需的配置信息。

HijackLoader 将 Remcos RAT 注入到合法的 Chime.exe 进程中,使攻击者能够远程控制系统、窃取数据、执行命令以及从 C2 服务器接收指令。

归因分析强烈表明此次攻击活动与UAC-0184组织有关。诱饵文件名和内容提及了乌克兰最高拉达(议会)的问询以及篡改军人档案和拒绝发放养老金等敏感问题,这与该组织长期以来针对乌克兰政府和军事情报部门的关注点相符。使用Viber传播恶意文件反映了UAC-0184组织惯用的策略,即利用乌克兰流行的即时通讯平台,这与其过去滥用Signal、Telegram和其他应用程序以及使用以官方调查和法律请求为主题的LNK文件的做法一致。从技术角度来看,使用HijackLoader传播Remcos远程访问木马(RAT)符合该组织已知的独特工具链。综合目标选择、社会工程主题、传播方式和恶意软件堆栈等证据,可以高度确信此次行动是由UAC-0184组织实施的。

报告总结道:“基于以上信息,包括受害者身份识别、社会工程技术以及专用工具集的特征,我们高度确信此次攻击是由 UAC-0184 组织发起的。”

消息来源 X@securityaffairs

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM《2025 年APT UAC-0184 (疑似大鹅)通过 Viber投放恶意 ZIP 文件进行间谍活动攻击乌克兰军方和政府机构》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0