俄系駭客利用Viber平台 攻擊烏克蘭軍政府機構之分析

近期，俄系駭客組織UAC-0184（又名Hive0156）針對烏克蘭軍政府機構發動了一系列網絡攻擊，利用即時通訊應用Viber作為初始入侵渠道。這些攻擊行動展示了駭客組織在技術手段和社會工程學上的高度專業性，並對烏克蘭的國家安全構成了嚴重威脅。

攻擊概述

UAC-0184組織自2025年起持續針對烏克蘭軍事和政府部門進行情報窃取活動，此次攻擊活動的目標是烏克蘭最高拉達（議會），內容涉及軍人档案被篡改及拒付阵亡赔偿等敏感議題。

攻擊者通過Viber向目標用戶發送名為「А2393.zip」的恶意壓縮包，內含多個伪装成合法文档的LNK快捷方式文件，誘導用户點擊。這些文档的主題與關注烏克蘭軍方作戰態勢的人員高度相關，例如來自最高拉達的质询、扫描件等，充分利用了社會工程學手段。

攻擊鏈分析

本次攻擊活動展示了高度的技術複雜性，結合了多種先進的技術手段，包括DLL侧加载（DLL Side-Loading）、非标准控制流转移以及双重模块踩踏（Module Stomping）技術，旨在规避安全检测並最终植入HijackLoader以加载Remcos RAT。

初始访问与投递

攻擊者通过Viber向目標用戶發送恶意壓縮包，解压后包含多个LNK快捷方式文件，文件名诱导性强，意图通过社会工程学手段诱使用户点击。這些LNK文件會觸發DLL侧加载，進而執行恶意代碼。

DLL侧加载与模块踩踏

攻擊者利用DLL侧加载技術，將恶意DLL文件與合法應用程序的一部分結合，使其在執行時能夠繞過安全檢測。非标准控制流转移和双重模块踩踏技術則進一步增強了攻擊的隱蔽性，使得防毒軟件難以檢測到異常行為。

植入HijackLoader与Remcos RAT

最終，攻擊者通過HijackLoader將Remcos RAT植入目標系統。Remcos RAT是一款功能強大的遠程控制工具，能夠窃取敏感情報、截取鍵盤輸入、控制目標設備等，對烏克蘭的國家安全構成了嚴重威脅。

防範措施建議

針對這類攻擊，企業和政府機構應採取以下措施以加強安全防護：

• 加強數據加密與訪問控制，確保敏感信息不被未經授權的用戶訪問。
• 定期進行安全培訓，提高員工對社會工程學攻擊的認識和防範能力。
• 部署先進的威脅檢測和防範系統，及時發現和應對潛在的網絡威脅。
• 定期更新和修補系統漏洞，確保軟體和硬體設備的安全性。

MITRE ATT&CK 對應

• T1059 – 命令與控制（Command and Control）
• T1204 – 用户執行的二进制文件（User Execution）
• T1055 – 进程注入（Process Injection）
• T1078 – 有效用户名和密码（Valid accounts）

參考資料與原文來源

• 🔗 原文來源: https://www.gm7.org/archives/15946
• 🔗 原文來源: https://www.twreporter.org/a/ukraine-information-warfare-counterattack
• 🔗 原文來源: https://pansci.asia/archives/370705
• 🔗 原文來源: https://www.ithome.com.tw/news/154701

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。