UAC-0050 针对欧洲金融机构的伪造域名与 RMS 恶意软件
Source: The Hacker News
概览
Ravie Lakshmanan
2026 年 2 月 24 日 – 网络间谍 / 恶意软件
一名与俄罗斯结盟的威胁行为者被观察到针对一家欧洲金融机构发起社交工程活动,可能旨在情报收集或金融盗窃。这表明该行为者的关注点可能正从乌克兰扩展到支持**战乱国家**的实体。
此次针对一家未具名的、参与地区发展和重建计划的实体的活动,被归因于一个被追踪为**UAC‑0050(亦称DaVinci Group**)的网络犯罪组织。BlueVoyant 将该威胁集群命名为Mercenary Akula。攻击发生在本月早些时候。
“此次攻击伪装成乌克兰司法域名,发送包含指向远程访问载荷链接的电子邮件,”研究员 Patrick McHale 和 Joshua Green 在与 The Hacker News 共享的报告中说道。“目标是一名负责采购的高级法律与政策顾问,该角色对机构运营和金融机制拥有特权洞察。”
— BlueVoyant 报告
攻击流程
- 鱼叉式钓鱼邮件 – 使用法律主题的语言,并指引收件人下载托管在 PixelDrain 上的归档文件,该文件共享服务被攻击者用于绕过基于声誉的安全控制。
- 多层归档 – 初始 ZIP 包含一个 RAR 归档,RAR 中又包含一个受密码保护的 7‑Zip 文件。内部是一个通过双扩展技巧 (
*.pdf.exe) 伪装成 PDF 文档的可执行文件。 - 载荷投递 – 执行后会放置一个用于 Remote Manipulator System (RMS) 的 MSI 安装程序,这是一款俄罗斯的远程桌面工具,能够实现远程控制、桌面共享和文件传输。
“使用此类‘活用现有工具’(living‑off‑the‑land)为攻击者提供了持久、隐蔽的访问,并且常常能够规避传统的杀毒软件检测,”研究人员指出。
RMS 的部署 与 先前的 UAC‑0050 作案手法 保持一致,因为该组织已知在针对乌克兰的攻击中投放合法的远程访问软件(例如 LiteManager)以及远程访问木马如 RemcosRAT。
乌克兰计算机应急响应团队 (CERT‑UA) 已 将 UAC‑0050 描述为 与俄罗斯执法机构关联的雇佣兵组织,执行数据收集、金融盗窃以及信息/心理作战,品牌为 Fire Cells。
“此次攻击体现了雇佣兵 Akula 已建立且重复的攻击特征,同时也呈现出显著的进展,”BlueVoyant 说。“首先,他们的目标主要集中在乌克兰本土实体,尤其是会计和财务官员。然而,此次事件表明他们可能在西欧对支持乌克兰的机构进行探查。”
更广泛的背景
- CrowdStrike – 在其年度 全球威胁报告 中,该公司预测俄罗斯关联的对手将继续开展针对乌克兰目标和北约成员国的情报收集的激进行动。
- APT 29(Cozy Bear / Midnight Blizzard) – 继续在针对美国非政府组织和美国一家法律实体的鱼叉式钓鱼活动中“系统性”利用信任、组织信誉和平台合法性,以获取受害者的 Microsoft 账户的未授权访问。
“Cozy Bear 成功地妥协或冒充了与目标用户有联系的个人 …”(报告摘录)
“保持了可信的专业关系,” CrowdStrike 说。“被冒充的个人包括国际非政府组织分支机构和亲乌克兰组织的员工。”
“对手在证实这些冒充行为上投入了大量资源,使用被妥协个人的合法电子邮件账户以及一次性通信渠道来增强真实性。”
所有链接和图片均保留自原始来源。
觉得这篇文章有趣吗?请在 Google News、Twitter 和 LinkedIn 关注我们,以阅读我们发布的更多独家内容。