【安全资讯】UAC-0185 APT利用社交工程攻击乌克兰国防工业基础

概要：

乌克兰计算机应急响应小组（CERT-UA）发布了安全警告，揭示了一个针对乌克兰国防工业基础的复杂钓鱼攻击活动。该攻击归因于高级持续威胁（APT）组织UAC-0185，利用社交工程技术和恶意电子邮件附件，旨在渗透敏感系统并窃取重要信息。

主要内容：

此次攻击于2024年12月4日被发现，攻击者伪装成乌克兰工业家和企业家联盟（UUIE），试图利用该组织的信任度来欺骗收件人。攻击者通过发送伪装成会议邀请的钓鱼邮件，诱导受害者点击嵌入的链接，下载一个快捷方式（LNK）文件，进而启动多阶段恶意软件感染过程。

执行LNK文件后，恶意代码会下载并执行一个包含混淆JavaScript代码的HTA文件。该代码触发两个PowerShell命令：一个下载并显示伪装的文档，另一个则下载一个伪装成PNG图像文件的ZIP档案，里面包含恶意组件。该ZIP档案中的批处理脚本负责提取并执行额外的恶意文件，确保恶意软件在系统重启后依然活跃。

攻击的最终阶段涉及执行一个名为MESHAGENT的恶意可执行文件，这是一种与UAC-0185相关的远程访问木马（RAT）。该木马使攻击者能够全面控制被攻陷的系统，窃取敏感数据、进行监视并执行进一步的恶意活动。UAC-0185自2022年以来一直活跃，专注于乌克兰的国防和军事领域，其战术和技术显示出高度的复杂性和对关键基础设施的持续威胁。