【安全资讯】UAC-0252组织利用SHADOWSNIFF与SALATSTEALER窃密程序发动网络攻击

概要：

自2026年初以来，乌克兰计算机应急响应小组（CERT-UA）持续监测到一系列针对政府及军事系统的复杂网络攻击。攻击者冒充中央及地方行政机构，通过钓鱼邮件分发恶意软件，旨在窃取敏感信息并可能部署勒索软件。此次攻击活动被追踪为UAC-0252，凸显了针对关键基础设施的持续威胁，其利用合法服务（如GitHub）和已知漏洞（如WinRAR的CVE-2025-8088）的手法，增加了攻击的隐蔽性和危害性。

主要内容：

攻击始于钓鱼邮件，邮件伪装成来自乌克兰中央执行机构或地区行政当局，以更新广泛使用的民用和军事系统移动应用程序为诱饵。邮件包含恶意附件或链接，附件为含有EXE文件的压缩包，链接则指向存在跨站脚本（XSS）漏洞的合法网站，访问后会执行JavaScript代码并下载恶意可执行文件。

攻击中使用了多种恶意工具。SHADOWSNIFF是一款从GitHub获取的窃密程序，SALATSTEALER则是一种恶意软件即服务（MaaS）窃密器，而DEAFTICK是一个用Go语言编写的简单后门。此外，调查人员还在一个GitHub仓库中发现了名为“AVANGARD ULTIMATE v6.0”的勒索软件构建器，以及利用WinRAR漏洞（CVE-2025-8088）的攻击工具包。

攻击成功的关键在于社会工程学与漏洞利用的结合。攻击者利用人们对官方机构的信任诱导点击，并通过XSS漏洞和WinRAR零日漏洞绕过安全防护。恶意软件通过修改注册表实现持久化，并尝试将自身添加到Windows Defender排除列表以规避检测。该活动与Telegram频道“PalachPro”披露的信息存在关联，主要影响乌克兰的政府及军事部门，可能导致敏感数据泄露和系统被加密勒索。