【安全资讯】UAC-0190组织利用PLUGGYAPE后门对乌克兰国防军发起钓鱼攻击

概要：

在持续的网络战中，高级持续性威胁（APT）活动正变得更加隐蔽和具有欺骗性。乌克兰国家网络事件响应团队CERT-UA近期披露，从2025年10月至12月，一个被追踪为UAC-0190（又名Void Blizzard或Laundry Bear）的黑客组织，针对乌克兰国防军成员发起了一系列精心策划的网络攻击。攻击者伪装成慈善机构，通过即时通讯工具传递恶意载荷，部署名为PLUGGYAPE的Python后门，其战术的演变和技术的复杂性凸显了当前网络威胁格局的严峻性。

主要内容：

此次攻击活动始于通过即时通讯工具与目标建立联系。攻击者冒充慈善组织成员，使用乌克兰语进行交流，甚至进行音视频通话，并展示对目标个人及组织的深入了解，以此建立信任。随后，他们会诱导目标访问伪装成慈善机构网站的钓鱼页面，或直接通过通讯工具发送恶意文件。

初始投递的恶意文件通常伪装成文档，例如使用“.pdf.exe”或“.docx.pif”扩展名。其中，PIF文件是利用PyInstaller打包的可执行文件，核心是一个用Python编写的后门程序，被命名为PLUGGYAPE。该恶意软件会收集设备基础信息（如MAC地址、BIOS序列号），并利用SHA-256算法生成唯一设备标识符。

为了增强隐蔽性和对抗分析，攻击者在后续活动中升级了恶意软件。从2025年12月起，出现了PLUGGYAPE.V2版本。该版本采用了MQTT协议进行通信，并加入了反分析检查，例如检测是否在虚拟环境中运行。其C2服务器地址有时不会硬编码在代码中，而是动态地从Pastebin、Rentry等公共文本分享网站获取，进一步增加了追踪难度。

此次攻击成功的关键在于高度社会工程化的初始接触和持续的技术迭代。攻击不仅直接威胁乌克兰国防安全，也表明APT组织正更广泛地利用合法通讯渠道和云服务来增强攻击的穿透力和持久性。CERT-UA已发布详细的威胁指标（IoC），并呼吁未部署企业级防护的用户保持高度警惕。