网络安全研究人员发现,一个与俄罗斯关联的黑客组织近期针对乌克兰关键机构发动了大规模网络间谍活动。该行动始于今年二月,攻击者利用伪装成星链卫星终端文件和知名慈善机构信息的恶意文档作为诱饵。根据网络安全公司 Lab52 的报告,此次行动旨在窃取敏感信息并监控受害者的设备活动。这一发现揭示了现代冲突中网络攻击手段的复杂化趋势。
攻击者部署了一种名为 DrillApp 的后门程序,允许远程上传和下载文件。该恶意软件还能通过麦克风录制音频,并截取网络摄像头的图像。研究人员指出,这种功能组合使得攻击者能够深入监控受害者的日常操作环境。这种全面的数据收集能力对目标机构构成严重威胁。此外,攻击者还可利用该程序窃取存储的文档和凭证。
本次行动中,攻击者伪造了名为 Come Back Alive 的乌克兰慈善机构请求。该组织支持乌克兰武装部队,其名称被用于增加文档的可信度。同时,攻击还利用了星链终端验证相关的图像和文件进行分发。这种社会工程学手段利用了对抗紧迫性的心理效应。受害者往往在急需确认安全状态时放松警惕。
乌克兰当局此前确认俄罗斯军队开始在攻击无人机上安装星链技术。因此,官方在二月引入了终端验证系统,这为攻击者提供了新的伪装借口。一旦打开恶意文件,程序便通过微软 Edge 浏览器执行。浏览器成为攻击载体的选择并非偶然。验证流程的复杂性为恶意代码提供了隐蔽的执行空间。
研究人员认为,攻击者选择浏览器可能是利用其合法的设备访问权限。浏览器通常拥有对摄像头、麦克风和屏幕记录的许可,这有助于掩盖恶意活动。安全工具很少将浏览器标记为可疑,从而降低了被检测的风险。这种隐蔽性使得防御者难以区分正常流量与恶意载荷。此外,浏览器更新频繁,补丁管理往往滞后,给攻击者留下了可乘之机。浏览器沙箱机制的局限性也助长了此类攻击的成功率。
该黑客组织被追踪为 Laundry Bear,也被称为 Void Blizzard。该团伙自 2024 年以来一直活跃,并曾针对北约成员国和乌克兰机构。乌克兰计算机应急响应团队 CERT-UA 今年早些时候曾报告过该组织针对武装力量的单独行动。这表明该组织具备长期针对特定目标的能力。其活动范围显示出明显的地缘政治意图。
研究人员发现此次行动采用了与之前相似的战术,包括慈善主题诱饵。攻击者还将恶意组件托管在公共文本共享服务上。这种技术复用表明攻击者正在优化其入侵路径以提高成功率。公共云服务的使用增加了追踪和清除的难度。研究人员识别了该恶意软件的两个版本。版本差异主要体现在诱饵内容上。
Lab52 表示该间谍软件仍处于早期开发阶段,暗示攻击者可能在尝试新的防御规避方法。Laundry Bear 此前被描述为使用相对简单但难以检测的技术。该组织的主要目标仍然是网络间谍活动而非破坏性攻击。这种策略旨在长期潜伏而非制造即时混乱。攻击者似乎正在评估不同防御体系的反应速度。
微软此前报告称,其已挫败该组织在乌克兰多个行业的攻击。尽管 Laundry Bear 的战术与俄罗斯军事情报威胁行为者 APT28 有重叠,但分析人士通常视其为不同的行为体。这种区分对于理解威胁格局至关重要。不同组织间的协作或竞争可能影响未来攻击模式。教育、交通和国防部门均曾受到波及。
此次事件凸显了网络战在乌克兰冲突中的持续升级。随着双方都在寻找新的技术突破口,网络安全防御面临新的挑战。未来需要密切关注该组织的后续动向及其技术演变。企业和个人用户需加强针对社会工程学攻击的防范意识。关键基础设施运营商应重新评估其供应链安全策略。国际网络安全合作机制也需随之调整。
