北京
2026年3月,一個(gè)活躍近十年的黑客組織再次現(xiàn)身。他們向?yàn)蹩颂m政府機(jī)構(gòu)發(fā)送偽裝成電信公司通知的PDF文件,點(diǎn)擊下載按鈕后,受害者被引向完全由攻擊者控制的服務(wù)器——而接下來會(huì)發(fā)生什么,取決于你從哪里連接。
這個(gè)被命名為FrostyNeighbor的組織,至少從2016年開始活動(dòng)。ESET威脅研究博客WeLiveSecurity的分析顯示,該組織還有Ghostwriter、UNC1151、TA445、PUSHCHA、Storm-0257等多個(gè)追蹤代號(hào),是一個(gè)與白俄羅斯利益明顯對(duì)齊的網(wǎng)絡(luò)間諜行動(dòng)者。其攻擊目標(biāo)長期集中在烏克蘭、波蘭、立陶宛三國,受害者涵蓋政府、軍方、工業(yè)企業(yè)和醫(yī)療機(jī)構(gòu)。
最新攻擊的精密程度令人側(cè)目。攻擊者沒有廣撒網(wǎng),而是采用"手動(dòng)確認(rèn)"機(jī)制——只有當(dāng)操作者核實(shí)目標(biāo)值得追擊后,才會(huì)投遞最終載荷。這種選擇性策略讓安全研究人員極難在受控環(huán)境中復(fù)現(xiàn)攻擊鏈,也大幅降低了被自動(dòng)化檢測系統(tǒng)發(fā)現(xiàn)的概率。
感染鏈條的設(shè)計(jì)充滿欺騙性。當(dāng)烏克蘭受害者點(diǎn)擊誘餌文檔中的嵌入鏈接,服務(wù)器會(huì)投遞一個(gè)名為53_7.03.2026_R.rar的壓縮包。其中藏有JavaScript文件,它在前臺(tái)投放一份無關(guān)緊要的PDF轉(zhuǎn)移注意力,后臺(tái)則悄然啟動(dòng)下一階段。
這個(gè)名為PicassoLoader的下載器是該組織的慣用工具,曾被以多種編程語言重寫。其核心功能在于持久化控制:PicassoLoader從命令控制服務(wù)器下載一個(gè)偽裝成JPEG圖片的計(jì)劃任務(wù)模板,實(shí)際內(nèi)容為XML配置文件。通過創(chuàng)建系統(tǒng)計(jì)劃任務(wù),攻擊者得以在受害者機(jī)器上維持長期潛伏,無需持續(xù)交互即可定時(shí)喚醒惡意組件。
ESET研究人員指出,該組織的一個(gè)顯著特點(diǎn)是持續(xù)更新工具和方法,專門用于規(guī)避安全警報(bào)。從CERT-UA到SentinelOne,從HarfangLab到StrikeReady,多家安全機(jī)構(gòu)過去數(shù)年的追蹤報(bào)告共同勾勒出同一條進(jìn)化軌跡——而這次,他們用上了更隱蔽的服務(wù)器端過濾和多層腳本加載機(jī)制。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
