俄罗斯高级持续威胁组织的活动

关键要点

• 俄罗斯的威胁组织UAC-0113（与“沙虫”有关联）正在模仿乌克兰电信提供商，传播恶意软件。
• 最新的攻击继续使用DCRat（DarkCrystal RAT）的相关邮件钓鱼手段。
• 攻击者利用虚假的域名和编码的ISO映像等技术手段隐藏恶意活动。

据报道，与俄罗斯“沙虫”相关的威胁组织UAC-0113正在伪装成乌克兰的电信服务提供商EuroTransTelecom和Datagroup，以传播WarzoneRAT和Colibri加载程序。《黑客新闻》对此进行了报道。RecordedFuture的研究人员发现，这些新的攻击是同一活动的延续，旨在通过钓鱼邮件传播DCRat（DarkCrystalRAT）恶意软件。研究人员表示：“从DarkCrystal RAT过渡到Colibri Loader和WarzoneRAT显示了UAC-0113对公开可用的商品恶意软件的广泛而持续的使用。”

所有这些攻击都利用了虚假的域名，这些域名承载着一个“敖德萨地区军事管理局”的网站，并通过HTML隐匿技术进行编码的ISO映像载荷文件的交付。与此次最新攻击相关的ISO文件中包含一个LNK文件，该文件触发感染序列，最终促使Colibri加载程序和WarzoneRAT的部署，以及一个用于隐藏恶意活动的诱饵文档。

攻击要素 | 描述
—|—
组织名称 | UAC-0113（与沙虫组织有关）
目标 | 乌克兰电信服务提供商
恶意软件 | Warzone RAT, Colibri Loader, DCRat
攻击方式 | 钓鱼邮件，虚假域名，HTML隐藏技术

相关链接

这系列攻击不仅强调了UAC-0113组织对技术手段的娴熟运用，还展示了网络威胁在全球范围内不断演变的特性。网络安全专家警告道，企业和组织应加强邮件安全和用户教育，以避免成为后续攻击的目标。