俄罗斯黑客组织UAC-0063瞄准哈萨克斯坦，利用HATVIBE恶意软件展开间谍活动

近期，网络安全研究人员发现，与俄罗斯有关的黑客组织UAC-0063正在对哈萨克斯坦展开一场持续的网络间谍活动，旨在为克里姆林宫收集中亚地区的经济和政治情报。这一活动被认为是俄罗斯军事情报总局（GRU）下属的国家级黑客组织APT28（又名Fancy Bear）的一部分。

UAC-0063黑客组织最早由乌克兰计算机应急响应小组（CERT-UA）在2023年初记录，其攻击手段包括使用HATVIBE、CHERRYSPY和STILLARCH（又名DownEx）等恶意软件家族。值得注意的是，这些恶意软件的使用目前仅与该组织相关。

根据Recorded Future的Insikt Group报告，UAC-0063的后续攻击活动已扩展到中亚、东亚和欧洲的组织。法国网络安全公司Sekoia在一份最新分析中指出，UAC-0063的攻击目标主要集中在政府、外交、非政府组织、学术界、能源和国防等领域，地理范围则集中在乌克兰、中亚和东欧地区。

攻击手法揭秘：双阶段感染链

最新的攻击活动中，UAC-0063使用了哈萨克斯坦外交部发布的合法Microsoft Office文档作为钓鱼诱饵，激活了一个名为“Double-Tap”的多阶段感染链，最终投放HATVIBE恶意软件。目前尚不清楚这些文档是如何被获取的，但很可能是通过先前的攻击活动窃取的。

具体而言，这些文档包含恶意宏代码，当受害者运行这些宏时，系统会在“C:Users[USER]AppDataLocalTemp”位置创建空白文档。HATVIBE作为一个加载器，会从远程服务器接收下一阶段的VBS模块并执行，最终为名为CHERRYSPY的复杂Python后门铺平道路。HTA文件设计为通过启动mshta.exe运行四分钟。

绕过安全防护的独特技巧

Sekoia的研究人员指出，Double-Tap感染链的独特之处在于其采用了多种技巧来绕过安全解决方案。例如，它将真实的恶意宏代码存储在settings.xml文件中，并为第二个文档创建计划任务而不触发schtasks.exe。此外，初始文档还使用了反仿真技巧，检测执行时间是否被篡改，若发现异常则停止宏代码的执行。

与APT28的关联

Sekoia表示，HATVIBE攻击序列的目标和技术与APT28相关的Zebrocy活动存在重叠，因此可以以中等置信度将UAC-0063集群归因于俄罗斯黑客组织。该公司补充道，钓鱼文档的主题表明，这是一场针对中亚国家外交关系的网络间谍活动，尤其是哈萨克斯坦的外交关系，旨在为俄罗斯情报部门收集战略情报。

俄罗斯监控技术出口引发担忧

与此同时，Recorded Future还披露，多个中亚和拉丁美洲国家已从至少八家俄罗斯供应商（如Citadel、Norsi-Trans和Protei）购买了俄罗斯的“行动调查活动系统”（SORM）窃听技术。SORM是一种电子监控设备，能够拦截广泛的互联网和电信流量，使当局能够在服务提供商不知情的情况下监控固定电话、移动通信、互联网流量、Wi-Fi和社交媒体，并将这些数据存储在可搜索的数据库中。

据评估，前苏联国家如白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦和乌兹别克斯坦，以及拉丁美洲的古巴和尼加拉瓜，很可能已经获得了这项技术，用于监控本国公民。

Insikt Group警告称，尽管这些系统具有合法的安全应用，但这些国家的政府有滥用监控能力的历史，包括镇压政治反对派、记者和活动人士，且缺乏有效或独立的监督。更广泛地说，俄罗斯监控技术的出口将继续为莫斯科提供扩大影响力的机会，尤其是在其视为“近邻”的传统势力范围内。

结语：

随着网络战的升级，俄罗斯黑客组织的活动范围和技术手段不断演变，中亚地区成为其新的战略目标。此次针对哈萨克斯坦的间谍活动不仅揭示了网络威胁的复杂性，也凸显了国际社会在网络安全和隐私保护方面面临的严峻挑战。