关键词

网络攻击

概览
2025 年 6 月至 8 月,乌克兰政府及关键基础设施持续受到俄罗斯支持的高级网络威胁组织攻击。这些威胁行为者采用“Living-Off-the-Land(LotL)”策略,利用系统自带工具和合法管理软件,实现长期潜伏、持续访问,而不依赖明显的恶意软件。

打开网易新闻 查看精彩图片

攻击特点

  1. 目标与时间线

  • 大型商业服务机构:持续两个月

  • 当地政府基础设施:持续一周

  • 初次入侵发生在 2025 年 6 月 27 日,通过公共服务器上的 Webshell(Localolive)建立持久后门

攻击手法

  • Webshell 部署:攻击者在未修补漏洞的服务器上放置 Localolive,执行远程命令

  • 合法工具滥用:主要使用 Windows 自带工具(cmd.exe、PowerShell、rundll32.exe 等)进行侦察、内存转储、注册表提取和凭证收集

  • 定时任务:每 30 分钟执行内存转储和后门脚本,实现持续访问

  • 凭证收集:针对 KeePass 密码库及 Windows 内存中敏感信息进行抓取

  • 网络与远程访问修改:启用 RDP、安装 OpenSSH、配置端口访问,以便长期远程控制

高级规避与隐蔽性

  • 最小化恶意软件使用,降低被检测的概率

  • 利用稀有工具(如 Windows Resource Leak Diagnostic)进行内存操作

  • 通过合法管理工具进行操作,隐藏攻击来源与意图

影响与风险

  • 乌克兰政府及关键基础设施:被迫面对长期网络渗透,敏感数据持续泄露

  • 商业服务机构:客户凭证与内部配置文件可能被窃取

  • 行业趋势:攻击者从破坏性攻击转向信息收集与长期潜伏,增加防御难度

背景关联

  • 攻击疑似与Sandworm(GRU 旗下单位)相关,曾对电力网与卫星通信实施破坏性攻击

  • Webshell 工具 Localolive 曾在 “BadPilot” 多年行动中使用

  • 俄罗斯网络犯罪生态逐渐被国家管理和调控,攻击与商业、政治目标紧密关联

打开网易新闻 查看精彩图片

打开网易新闻 查看精彩图片

安全圈

打开网易新闻 查看精彩图片

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!