你有没有想过,为什么医院和政府机构的电脑明明装了杀毒软件,黑客还是能大摇大摆地偷走WhatsApp聊天记录?乌克兰最近曝光的一起攻击事件,手法之绕、工具之杂,简直像在看一场"黑客工具博览会"。
一张图看懂攻击全链条
乌克兰计算机应急响应小组(CERT-UA)今年3-4月记录到一波密集攻击,幕后黑手被追踪为UAC-0247。他们的目标很明确:地方政府、市政医疗机构、临床医院、急救救护车服务,甚至国防军代表和FPV无人机操作员。
整个攻击像搭积木一样层层嵌套。我们先把核心流程画出来:
【钓鱼邮件/Signal消息】→【假网站或漏洞跳转】→【下载压缩包】→【快捷方式触发HTA】→【远程加载恶意脚本】→【后台投放可执行文件】→【计划任务持久化】→【AGINGFLY远控上线】→【CHROMELEVATOR偷浏览器/ZAPIXDESK偷WhatsApp】→【RUSTSCAN扫内网/LIGOLO-NG建隧道】
这张图最诡异的地方在于:每一步用的都是"合法工具"或"合法流程"。没有零日漏洞,没有惊天动地的技术突破,但组合起来就是能绕过层层防护。
第一层伪装: humanitarian aid当诱饵
攻击起点是一封邮件,主题围绕"人道主义援助讨论"。收件人被要求点击一个链接。
为了让链接可信,攻击者走了两条路:
第一条路是用AI工具搭建假网站。现在用AI生成一个看起来像模像样的援助组织官网,成本几乎为零,还能针对不同目标定制页面语言和内容。
第二条路更阴:直接跳转到存在跨站脚本漏洞(XSS)的正规第三方网站。受害者看到的是熟悉域名,警惕性自然下降。点击之后,一个压缩包开始下载。
3月10日有个典型案例。攻击者通过Signal发送名为"bachu.zip"的文件,伪装成FPV操作员常用的"BACHU"软件更新版本。Signal在乌克兰战场通信中广泛使用,这种渠道选择本身就很精准。
第二层诱导:HTA文件的"明修栈道"
压缩包打开后,里面是个快捷方式文件(.lnk)。双击它,系统调用的是标准的HTA(HTML应用程序)处理工具——这是Windows自带的功能,完全合法。
HTA文件会拉取并执行一个远程HTA脚本。这时候受害者屏幕上弹出一个"诱饵表单",可能是某个援助申请表或软件安装界面。人的注意力被吸引在前台,后台却在悄悄完成另一件事:通过计划任务投放并启动一个可执行文件。
这种"明修栈道,暗度陈仓"的设计,核心是利用人的认知带宽有限。前台越像回事,后台越隐蔽。
在bachu.zip案例中,压缩包里实际藏的是DLL文件。主程序一运行,就通过DLL侧加载(DLL side-loading)技术启动AGINGFLY恶意程序。这种技术把恶意代码塞进合法程序的加载流程,杀毒软件很难分辨。
第三层控制:AGINGFLY的"外挂式"架构
AGINGFLY是整个攻击链条的核心远控工具,用C#编写。功能清单很标准:执行命令、下载文件、截屏、键盘记录、内存代码执行。
但它有个极不寻常的设计:命令处理器(command handlers)并不内嵌在恶意程序里。
这意味着什么?传统远控木马通常把所有功能打包在一起,一旦被逆向分析,全套能力暴露无遗。AGINGFLY更像一个"骨架",具体怎么动,靠外部指令实时下发模块。分析人员拿到样本,只能看到空壳,核心逻辑在攻击者服务器上。
这种架构让静态检测几乎失效。杀毒软件看文件特征?没问题,这是个"无害"的骨架。行为分析?它初期几乎不做任何敏感操作,直到收到指令。
第四层收割:浏览器和WhatsApp成为重点目标
站稳脚跟后,攻击者开始部署专用工具收割数据。
CHROMELEVATOR专门对付浏览器——不只是Chrome,名字里的"CHROME"更像品牌代称。它提取的是认证数据、保存的密码、自动填充信息。对医院和政府工作人员来说,浏览器里往往存着内网系统的登录凭证,一锅端等于拿到内网通行证。
ZAPIXDESK更针对性:专门偷WhatsApp数据。WhatsApp桌面版在乌克兰的普及度很高,医疗协调、物资调配、甚至伤员信息都可能通过这个渠道传递。聊天记录、联系人、媒体文件,都是高价值情报。
这两款工具的出现说明攻击者做过功课。不是盲目撒网,而是明确知道目标环境里什么数据最有用。
第五层扩张:内网渗透的"工具博览会"
数据偷到手,攻击者还不满足。他们开始横向移动,把单点突破变成网络沦陷。
工具清单读起来像开源安全工具的反向使用:
RUSTSCAN——公开的端口扫描器,用Rust重写,速度极快。用于快速绘制内网拓扑,找出下一批攻击目标。
LIGOLO-NG和CHISEL——都是隧道工具,建立隐蔽的反向连接通道。内网隔离?不存在的,流量伪装成正常HTTPS出去。
甚至还有个意外发现:XMRIG门罗币挖矿程序,打包成DLL,通过修改过的WIREGUARD(一款合法VPN工具)加载。这可能是攻击者的"副业"——既然控制了机器,顺便挖点矿补贴服务器成本。也可能是故意投放的烟雾弹,让防御者误以为是普通黑产,掩盖真实目的。
这种"工具杂烩"风格,既说明攻击者技术栈灵活,也暴露了一个现实:现代攻击不需要自研全套武器,开源工具+合法程序的组合,足以完成高度复杂的入侵。
为什么这套打法能成?
拆解完链条,回头看几个关键设计:
信任链劫持——从人道主义援助话题,到XSS漏洞的正规网站,再到Windows自带的HTA处理程序,每一步都寄生在"可信"元素上。人的警惕性被层层消解。
合法工具滥用——HTA、计划任务、WIREGUARD、RUSTSCAN,全是正经软件。防御系统很难在"用合法工具做坏事"和"正常业务行为"之间画清界限。
模块化架构——AGINGFLY的"骨架"设计,让样本分析变成拼图游戏。即使抓到一部分,看不到全貌。
多平台覆盖——邮件、Signal、WhatsApp,攻击者出现在目标日常使用的所有渠道。不是逼你用某个特定工具,而是你在哪,我就在哪。
给防御方的三个提醒
这次事件没有惊天动地的零日漏洞,但组合起来的穿透力极强。对同类机构来说,值得检查三个环节:
第一,HTA文件处理。Windows默认允许HTA执行,但很多环境其实用不到这个功能。通过组策略限制或监控HTA启动,能打断攻击链条的关键一环。
第二,DLL侧加载。检查常用程序目录下是否有异常DLL,特别是那些名字接近系统文件但路径可疑的。bachu.zip案例里,恶意DLL就是靠着和主程序同名或近名的方式蒙混过关。
第三,WhatsApp桌面版的数据保护。聊天记录本地存储加密强度有限,敏感对话考虑使用 disappearing messages(限时消息),或至少确保设备本身的登录安全。
行动号召
下次收到"人道主义援助"主题的邮件,或者Signal里突然有人发来软件更新包,多停三秒想想:这个链条的每一步,是不是正在你眼前展开?攻击者赌的就是这三秒的疏忽。别让他们赢。
热门跟贴