近期，乌克兰计算机应急响应小组（CERT-UA）发现黑客组织UAC-0099正通过伪装成法院传票的网络钓鱼邮件，针对乌克兰政府、军事及国防部门进行新的网络间谍活动。这些邮件包含指向合法文件共享平台的链接，并捆绑了恶意软件Matchboil。该恶意软件能够收集系统数据，并部署后门程序Matchwok及窃取程序Dragstare，用于远程命令执行和窃取敏感信息。此次攻击策略的转变，如从Lonepage转向Matchboil，显示了该网络威胁的演变性。虽然受影响范围和数据量未公开，但其攻击模式与过往俄罗斯黑客活动相似，凸显了在俄乌冲突背景下网络安全面临的严峻挑战。

🛡️ **网络钓鱼邮件伪装成法院传票**：黑客组织UAC-0099利用伪装成乌克兰法院传票的网络钓鱼邮件，作为其最新一轮网络间谍活动的主要载体。这些邮件诱使用户点击链接，从而引导至包含恶意软件的合法文件共享平台。

💻 **Matchboil恶意软件套件**：此次攻击的核心恶意软件是Matchboil，其主要功能包括收集系统信息，并能进一步部署其他恶意工具。这表明攻击者旨在实现更深层次的系统控制和数据窃取。

🔑 **后门程序与窃密工具并用**：在Matchboil的基础上，攻击者还部署了Matchwok后门程序，允许远程命令执行，以及Dragstare窃取程序，专门用于窃取浏览器密码、Cookies和桌面文件等敏感数据，显示了攻击的全面性和目的性。

🔄 **攻击策略的演变**：研究人员指出，UAC-0099组织在近期行动中从之前使用的Lonepage恶意软件转向Matchboil，这反映了该网络威胁行为体在战术、技术和工具上的持续演变，对防御方提出了更高的应对要求。

🇷🇺 **与俄罗斯黑客活动的相似性**：尽管CERT-UA尚未将此次攻击明确归因于特定国家，但其使用的战术和攻击模式与此前发现的俄罗斯黑客活动存在相似之处，暗示了攻击背后可能存在的关联性。

HackerNews 编译，转载请注明出处：

研究人员发现，黑客一直在发送伪装成乌克兰法院传票的虚假邮件，以此针对乌克兰政府、军事及国防部门实施新的网络间谍活动。

乌克兰计算机应急响应小组（CERT-UA）追踪到此次攻击活动由黑客组织UAC-0099发起。乌克兰网络安全部门此前表示，该组织至少自2022年起就在该国活跃，并已非法远程入侵数十台本地计算机。

在最新行动中，黑客发送了伪装成法院传票的网络钓鱼邮件。这些邮件包含指向合法文件共享平台的链接，这些平台提供捆绑了恶意软件的压缩文件。

攻击中使用的主要恶意软件Matchboil能收集系统数据并部署其他恶意工具——包括允许远程命令执行的后门程序Matchwok，以及窃取浏览器密码、Cookies和桌面文件等数据的窃取程序Dragstare。

CERT-UA未透露受影响的系统数量及泄露的数据量。虽然该机构尚未将攻击归因于特定国家，但其战术和攻击模式与此前俄罗斯黑客的行动相似。

乌克兰网络安全机构此前曾将UAC-0099与2024年末的一系列攻击相关联，当时该组织针对林业部门、法医机构和工业设施发动攻击。当时该组织使用名为Lonepage的不同恶意软件，而在近期行动中似乎已替换为Matchboil。

“战术、技术和工具的转变表明这一网络威胁具有持续演变的特性。”研究人员指出。

在俄乌冲突背景下，CERT-UA的报告通常仅提供有限技术细节，但为持续的网络行动提供了罕见洞察。该机构早前曾警告，黑客通过冒充乌克兰无人机制造商和国家机构，在军事及政府系统中植入窃取数据的恶意软件。另一起在6月监测到的攻击活动则涉及通过加密通讯应用Signal分发与俄罗斯军事情报机构关联的恶意软件。

 

 

 

---

消息来源：therecord；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文