【安全资讯】俄罗斯关联黑客组织利用Starlink及慈善诱饵对乌克兰发起网络间谍活动

概要：

近期，网络安全研究人员发现一起与俄罗斯有关联的网络间谍活动，该活动针对乌克兰组织，利用伪装成Starlink卫星互联网终端文件和知名慈善机构请求的恶意文档进行攻击。此次行动凸显了地缘政治冲突背景下，网络攻击手段的持续演进及其对关键国家基础设施和机构的严重威胁。

主要内容：

网络安全公司Lab52的报告指出，今年2月观察到的这场攻击由相对较新的俄罗斯关联黑客组织Laundry Bear（亦被追踪为Void Blizzard）发起。攻击者部署了名为DrillApp的后门程序，该恶意软件能上传下载文件、通过麦克风录制音频并通过网络摄像头捕获图像。

攻击活动使用了高度社会工程化的诱饵。攻击文档冒充了支持乌克兰武装力量的慈善组织“Come Back Alive”的请求，以及关于Starlink终端验证的图像。乌克兰当局在确认俄军开始将Starlink技术用于攻击无人机后，于2月初引入了终端验证系统，攻击者正是利用了此热点话题。

恶意文件通过Microsoft Edge浏览器执行，利用浏览器通常被合法授权访问摄像头、麦克风和屏幕录制等敏感设备功能的特性，使得恶意活动更难以被安全工具检测。研究人员指出，该间谍软件似乎仍处于早期开发阶段，表明攻击者可能在试验新的防御规避方法。

Laundry Bear组织主要专注于网络间谍活动，此前已成功入侵乌克兰教育、交通和国防等多个领域的机构。其战术与俄罗斯军事情报威胁行为者APT28（又名Fancy Bear）存在重叠，但分析人士通常认为它们是不同的组织。此次事件再次表明，持续的网络威胁是当前俄乌冲突的重要组成部分。