法國網(wǎng)絡(luò)安全公司HarfangLab最新報(bào)告披露，被追蹤為UAC-0057（亦稱為UNC1151、FrostyNeighbor或Ghostwriter）的威脅組織自2025年4月起，通過惡意壓縮包對烏克蘭和波蘭發(fā)起兩起相互關(guān)聯(lián)的網(wǎng)絡(luò)間諜活動。這些壓縮包內(nèi)含多階段植入程序，旨在收集情報(bào)并建立持久訪問權(quán)限。

攻擊手法分析

HarfangLab表示："我們發(fā)現(xiàn)自2025年4月起針對烏克蘭和波蘭的兩組惡意壓縮包，通過相似性可確認(rèn)其關(guān)聯(lián)性。"這些壓縮包包含嵌有VBA宏的武器化Excel表格，宏代碼會釋放經(jīng)過混淆處理的DLL植入程序。執(zhí)行后，宏利用CAB解壓和LNK文件執(zhí)行等技術(shù)，通過regsvr32.exe或rundll32.exe加載有效載荷。

這些用C#或C++編寫的植入程序使用ConfuserEx進(jìn)行混淆，部分還采用UPX加殼，使其能作為第一階段下載器運(yùn)行。其功能包括收集系統(tǒng)數(shù)據(jù)（操作系統(tǒng)版本、主機(jī)名、CPU信息、殺毒軟件詳情及外部IP地址），并將數(shù)據(jù)外泄至偽裝成合法域名的C2服務(wù)器。

7月樣本感染鏈條 | 圖片來源：HarfangLab

誘餌文檔偽裝

一份烏克蘭誘餌文檔偽裝成數(shù)字轉(zhuǎn)型部的官方文件。HarfangLab指出："我們在烏克蘭數(shù)字轉(zhuǎn)型部2025年4月17日發(fā)布的公告中發(fā)現(xiàn)了相同內(nèi)容和格式。"波蘭攻擊中則復(fù)制了波蘭共和國農(nóng)村市政聯(lián)盟的真實(shí)邀請函。

技術(shù)演進(jìn)趨勢

報(bào)告揭示了攻擊邏輯的演變：早期烏克蘭樣本直接將DLL寫入%TEMP%目錄，后期變種改用CAB文件并通過MacroPack進(jìn)行分層混淆。植入程序?qū)?shù)據(jù)發(fā)送至隱藏在Cloudflare后、偽裝成sweetgeorgiayarns.com等合法服務(wù)的C2端點(diǎn)。

HarfangLab解釋："盡管兩起行動存在明顯差異...但分析顯示諸多共同點(diǎn)：持續(xù)使用武器化XLS表格、相似的LNK文件執(zhí)行流程，以及跨行動相同的代碼片段。"

新型C2通信方式

針對波蘭的變種實(shí)驗(yàn)性地采用Slack webhook進(jìn)行C2通信，濫用免費(fèi)版Slack工作區(qū)作為隱蔽數(shù)據(jù)外泄通道。更高級的變種還部署了Cobalt Strike Beacons，顯示攻擊者具備長期駐留和橫向移動的能力。

組織背景溯源

這些行動與先前報(bào)告的Ghostwriter活動高度相似。該組織長期從事符合白俄羅斯和俄羅斯安全利益的網(wǎng)絡(luò)間諜與虛假信息活動。自2020年被Mandiant曝光針對北約的影響力行動以來，UAC-0057已擴(kuò)展其武器庫，包括持久性間諜植入程序和基礎(chǔ)設(shè)施偽裝技術(shù)。近期活動還顯示該組織轉(zhuǎn)向使用.icu和.online域名，延續(xù)其將惡意基礎(chǔ)設(shè)施隱藏在看似合法前端的做法。