北京
2026年3月,一個活躍近十年的黑客組織再次現身。他們向烏克蘭政府機構發送偽裝成電信公司通知的PDF文件,點擊下載按鈕后,受害者被引向完全由攻擊者控制的服務器——而接下來會發生什么,取決于你從哪里連接。
這個被命名為FrostyNeighbor的組織,至少從2016年開始活動。ESET威脅研究博客WeLiveSecurity的分析顯示,該組織還有Ghostwriter、UNC1151、TA445、PUSHCHA、Storm-0257等多個追蹤代號,是一個與白俄羅斯利益明顯對齊的網絡間諜行動者。其攻擊目標長期集中在烏克蘭、波蘭、立陶宛三國,受害者涵蓋政府、軍方、工業企業和醫療機構。
最新攻擊的精密程度令人側目。攻擊者沒有廣撒網,而是采用"手動確認"機制——只有當操作者核實目標值得追擊后,才會投遞最終載荷。這種選擇性策略讓安全研究人員極難在受控環境中復現攻擊鏈,也大幅降低了被自動化檢測系統發現的概率。
感染鏈條的設計充滿欺騙性。當烏克蘭受害者點擊誘餌文檔中的嵌入鏈接,服務器會投遞一個名為53_7.03.2026_R.rar的壓縮包。其中藏有JavaScript文件,它在前臺投放一份無關緊要的PDF轉移注意力,后臺則悄然啟動下一階段。
這個名為PicassoLoader的下載器是該組織的慣用工具,曾被以多種編程語言重寫。其核心功能在于持久化控制:PicassoLoader從命令控制服務器下載一個偽裝成JPEG圖片的計劃任務模板,實際內容為XML配置文件。通過創建系統計劃任務,攻擊者得以在受害者機器上維持長期潛伏,無需持續交互即可定時喚醒惡意組件。
ESET研究人員指出,該組織的一個顯著特點是持續更新工具和方法,專門用于規避安全警報。從CERT-UA到SentinelOne,從HarfangLab到StrikeReady,多家安全機構過去數年的追蹤報告共同勾勒出同一條進化軌跡——而這次,他們用上了更隱蔽的服務器端過濾和多層腳本加載機制。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
