APT组织UNG0901针对俄罗斯航空航天防御部门展开网络攻击——每周威胁情报动态第233期（07.25-07.31）

APT组织UNG0901针对俄罗斯航空航天防御部门展开网络攻击

近日，网络安全研究人员发现了一起针对俄罗斯航空航天防御部门的高级持续性威胁（APT）攻击事件，该行动被命名为“Operation CargoTalon-UNG0901”。据了解，“Cargotalon 行动”可能是一起有针对性的网络攻击行动，其背后的发起者疑似是“UNG0901”黑客组织，并将攻击重心放在了俄罗斯航空航天防御这一关键领域。该攻击活动中把Eaglet植入程序作为此次行动的攻击武器工具，具备隐蔽性强、针对性高的特点。这类植入程序通常会通过精心设计的方式侵入目标系统，一旦成功植入，可能会窃取敏感信息、破坏系统正常运行，甚至对相关军事或技术机密构成威胁。

攻击始于一个伪装成合法物流通信的鱼叉式网络钓鱼邮件，邮件地址伪造成俄罗斯运输与物流中心。邮件主题涉及货运交付，附件包含一个名为“backup-message-10.2.2.20_9045-800282.eml”的恶意EML文件，内含一个伪装为ZIP压缩文件的DLL文件，命名为“Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip”（翻译为“运输单据TTN编号391-44_2025年6月26日起”），以及一个同名的恶意LNK快捷方式文件。这些文件利用了俄罗斯物流中常见的TTN单据作为诱饵，增加了邮件的可信度。

LNK快捷方式文件是感染链的关键部分，负责自动化执行恶意DLL文件。LNK文件通过调用PowerShell，搜索用户目录中的DLL文件，并利用rundll32.exe执行该DLL。同时，LNK文件会弹出一个伪装的XLS文件作为诱饵文档，内容涉及受美国制裁的俄罗斯铁路集装箱运营商Obltransterminal，进一步迷惑受害者以掩盖恶意行为。

EAGLET是一个基于C++开发的DLL植入物，具备强大的间谍功能。感染后，EAGLET生成一个唯一全局标识符（GUID）用于标识受害设备，收集系统信息（如计算机名称、主机名和DNS域名），并在“C:ProgramDataMicrosoftAppStore”目录下创建伪装的工作目录以确保持久性。该植入物通过WinHttpOpen和WinHttpConnect API建立与硬编码服务器（185.225.17.104，端口80）的C2通信，伪装成“MicrosoftAppStore/2001.0”用户代理，通过HTTP GET请求（如/poll?id=&hostname=&domain=）轮询命令，并通过POST请求（如/result?id=&result=<base64_data>）执行远程shell、文件下载和数据外泄等功能。

研究人员分析发现，UNG0901与另一攻击组织Head Mare存在技术和操作上的重叠。例如，EAGLET与Head Mare使用的基于Golang的PhantomDL后门在功能（如shell、文件上传/下载）及钓鱼附件命名模式（如Contract_RN83_Changes与Contract_kh02_523）上存在相似性。这些相似性表明UNG0901可能与Head Mare共享资源或战术，共同针对俄罗斯实体开展间谍活动。

图 1 攻击感染链示意图

参考链接：

https://www.seqrite.com/blog/operation-cargotalon-ung0901-targets-russian-aerospace-defense-sector-using-eaglet-implant/

疑似APT28利用AI驱动恶意软件，对乌克兰发起新型网络攻击

2025年7月，乌克兰计算机应急响应团队（CERT-UA）公开报告了一起引人注目的恶意软件攻击事件，该事件涉及的恶意软件名为LAMEHUG。据分析，LAMEHUG是首次已知将大型语言模型（LLM）能力直接融入攻击流程的恶意软件，标志着网络威胁领域的一次重大创新。此次攻击精准地瞄准了乌克兰政府官员，通过高度伪装的钓鱼邮件进行传播，邮件内容模仿自相关部委官员，并附带一个看似无害的ZIP压缩文件，实则内藏使用PyInstaller编译的Python可执行文件。

据CERT-UA报告，LAMEHUG的发现可追溯至2025年7月10日，其背后操作的组织以中等置信度被归因为APT28（亦称Fancy Bear）。该组织与俄罗斯主要情报局（GRU）的26165部队有关联，其选择的攻击时机与手段均显示出高度的针对性和预谋性。攻击通过伪装成来自乌克兰部委官员的邮件展开，邮件中的ZIP附件名为“Додаток.pdf.zip”，极具迷惑性。

LAMEHUG的核心技术特点在于其集成了LLM Qwen2.5-Coder-32B-Instruct模型，通过huggingface[.]co服务的API，该模型能够根据静态输入的文本实时生成攻击命令，并立即在目标系统上执行。APT28在此过程中使用了约270个Hugging Face令牌进行身份验证，展现了其在利用先进AI技术进行网络攻击方面的探索。

进一步的技术分析揭示了LAMEHUG的多个变种，包括“Додаток.pif”、“save_document.py”以及伪装成AI图像生成器的“AI_generator_uncensored_Canvas_PRO_v0.9.exe”和“AI_image_generator_v0.95.exe”等。这些变种不仅在文件命名上极具迷惑性，更在数据窃取方法上展现出差异，表明攻击者在进行持续的开发与适应，以优化其攻击效果。

逆向工程过程中，研究人员发现了恶意软件发送给LLM的确切提示，这些提示经过base64编码以隐藏真实意图。例如，“Додаток.pif”变种就使用了针对系统信息收集和文档收集的特定提示，展现了攻击者对目标环境的深入了解和精准打击的能力。

LAMEHUG的操作流程堪称高效且隐蔽。它首先生成预定义的攻击提示，随后通过API与LLM模型通信，获取并执行针对目标系统的可执行命令序列。在命令执行过程中，恶意软件还采用了SFTP和HTTP POST等多种数据窃取方法，进一步增强了其攻击的灵活性和隐蔽性。

尽管此次攻击在技术上展现出诸多创新，但分析表明，它更可能是APT28对LLM集成能力的一次测试，而非成熟的运营部署。攻击代码的相对简单、AI集成的直接性以及缺乏高级混淆技术等因素，均指向这是一个探索性的项目。然而，这并不意味着可以掉以轻心，因为乌克兰作为俄罗斯网络能力的传统测试场，此次事件无疑预示着未来可能出现更复杂、更先进的AI驱动网络攻击。

参考链接：

https://www.catonetworks.com/blog/cato-ctrl-threat-research-analyzing-lamehug/

俄罗斯航空公司Aeroflot遭遇网络攻击，导致航班大规模取消

2025年7月，俄罗斯国家航空公司Aeroflot因遭受重大网络攻击，导致其信息技术（IT）系统瘫痪，迫使航空公司取消超过40个航班，并造成其他航班的大范围延误。此次攻击主要影响了莫斯科谢列梅捷沃机场（Sheremetyevo Airport）的运营，该机场是Aeroflot的主要枢纽。受影响的航班大多为俄罗斯国内航线，但也包括飞往白俄罗斯明斯克和亚美尼亚埃里温等国际航线的航班。

据报道，攻击是由两个支持乌克兰的黑客组织——“Silent Crow”和“白俄罗斯网络游击队（Cyberpartisans BY）”宣称负责。这两个组织表示，此次攻击是长达一年的精心策划行动，深入渗透了Aeroflot的内部网络，破坏了7000台服务器，并控制了包括高级管理人员在内的员工个人电脑。黑客还声称获取了大量客户和员工数据，并威胁将公开“所有曾乘坐Aeroflot航班的俄罗斯人的个人数据”。此次攻击被认为是自2022年2月俄乌冲突全面爆发以来，对俄罗斯造成最严重破坏的网络攻击之一。

俄罗斯检察机关已确认此次系统故障由黑客攻击引起，并已展开刑事调查。克里姆林宫发言人德米特里·佩斯科夫（Dmitry Peskov）表示，此事件“令人担忧”，并强调黑客威胁对所有为公众提供服务的大型企业构成持续风险。Aeroflot官方声明称，公司正在努力恢复正常运营，但未明确说明问题解决所需的时间。

根据Silent Crow和白俄罗斯网络游击队发布的声明，此次攻击是双方合作的结果，历时一年时间，目标是彻底摧毁Aeroflot的IT基础设施。黑客组织声称，他们通过利用Aeroflot网络安全措施的漏洞，成功渗透其内部系统。白俄罗斯网络游击队指出，Aeroflot首席执行官谢尔盖·亚历山大罗夫斯基（Sergei Alexandrovsky）自2022年以来未更改密码，且公司仍在使用过时的操作系统（如Windows XP和Windows 2003），这些都为攻击提供了可乘之机。

在过去一年中，黑客通过长期潜伏，逐步深入Aeroflot的企业网络，绘制了网络架构图，定位关键资源。据了解，黑客获得了122个虚拟机管理程序（hypervisors）、43个ZVIRT虚拟化装置、约100个用于服务器管理的iLO接口以及四个Proxmox集群的访问权限。另外，黑客组织还声称复制了包括客户数据、员工监控数据以及内部通信录音等敏感信息，总计约20TB的数据。随后，他们计划摧毁了核心IT基础设施，导致系统无法正常运行。最后，Silent Crow组织还在Telegram上发布的截图显示，他们访问了Aeroflot的内部活动目录（Active Directory）和文件共享系统，尽管这些截图的真实性尚未得到独立验证。

参考链接：

https://thecyberexpress.com/aeroflot-cyberattack/

美国安联人寿保险公司遭遇重大数据泄露事件

2025年7月，美国安联人寿保险公司（Allianz Life Insurance Company of North America）遭遇重大数据泄露事件，影响其约140万名客户中的大部分、财务专业人员及部分员工的个人数据。据报道，此次攻击通过社会工程学技术（social engineering）入侵了安联人寿使用的第三方云端客户关系管理（CRM）系统，导致敏感的个人身份信息被窃取。安联人寿于7月17日发现该事件，并立即采取措施遏制攻击，同时通知了美国联邦调查局（FBI）。公司表示，目前没有证据显示其内部网络或其他系统（如保单管理系统）受到入侵。安联人寿已开始联系受影响的客户，并提供信用和身份监控服务以减轻潜在风险。

此次事件是2025年保险行业遭受的一系列网络攻击之一，攻击者疑似与网络犯罪团伙“Scattered Spider”有关，尽管安联人寿未明确指认攻击者身份。Scattered Spider以利用社会工程学手段（如冒充IT帮助台窃取凭证）而闻名，此前曾针对零售、航空和科技行业发起攻击。

从技术角度分析，此次攻击的核心手段是社会工程学，即攻击者通过伪装成合法用户或客服人员，绕过安全控制措施，侵入第三方云CRM系统。这一案例凸显了企业依赖外部服务时的潜在风险，第三方平台成为了“安全短板”，尽管安联人寿的内部系统未被直接攻破，但第三方云服务的漏洞被利用，反映出供应链安全管理的重要性。而社会工程学这种通过操纵人员心理而非技术漏洞入侵的方式，因成本低、隐蔽性强，已成为近年网络攻击的常见手段。

安联人寿的这起数据泄露事件并非个例，近期保险及金融服务业正成为网络攻击的高发区。就在6月12日，美国大型保险公司美国家庭人寿保险（Aflac）也报告了数据泄露，虽然在数小时内阻止了攻击，但承认其属于某网络犯罪组织的大规模行动。观察者指出，活跃于零售领域的“散蛛”（Scattered Spider）黑客组织可能与近期多起事件相关，其中包括伊利保险（Erie Insurance）和费城保险公司（Philadelphia Insurance Companies）的泄露及入侵尝试。从全球范围来看，今年4月，澳大利亚多家大型退休基金遭协同攻击，超2万账户或受影响，其中管理着3650亿澳元资产的澳大利亚超级基金（AustralianSuper）紧急冻结部分账户功能，并提醒用户强化密码安全。

保险公司及退休基金之所以成为攻击目标，主要是因为它们存储了海量敏感数据，如社会安全号码、银行信息、医疗记录、投资组合等，这些数据可被用于身份盗窃、金融欺诈或在暗网出售。此外，该行业普遍依赖第三方服务商处理云存储、客户支持和数据处理，而外部平台的安全防护往往存在疏漏，这就成为了攻击者的突破口。

参考链接：

https://thecyberexpress.com/allianz-life-insurance-data-breach-confirmed/

新型安卓银行木马“ToxicPanda”肆虐欧洲

2025年初，一款名为“ToxicPanda”的安卓银行木马在欧洲快速传播蔓延。该木马最早由Trend Micro于2022年在东南亚发现，2024年转战欧洲，并于年底在意大利、葡萄牙、香港、西班牙和秘鲁等地集中爆发。最新监测显示，进入2025年后，攻击重心明显转向伊比利亚半岛，目前葡萄牙已有约3000台设备被控、西班牙约1000台，两国感染量占全球总数85%以上，希腊、摩洛哥和秘鲁等地也有少量感染报告。另外，根据2025年的最新数据显示，ToxicPanda的感染规模翻倍，新增功能包括域生成算法（DGA）、改进的沙箱逃逸技术和更新的加密例程，表明其仍在积极开发中。此外，该恶意软件针对中低端Android设备（如三星A系列、S系列、OPPO A系列和小米Redmi系列）表现出广泛兼容性，同时也感染了高端设备如三星S23。

在传播机制上，研究人员发现ToxicPanda借助TAG-124这一多层流量分发系统（TDS）进行恶意软件分发。TAG-124的多层结构由多个相互依赖的组件构成，用于分析、过滤和重定向网络流量以实施恶意行为，且其基础设施并非专属某一攻击组织，开发者会不断更新系统。2025年初的攻击活动中，ToxicPanda样本被托管在一些与TAG-124相关联的网站开放目录中，这些网站分为攻击者直接注册和被攻陷两类，研究人员已关联到52个相关域名，部分甚至能在谷歌搜索中被索引。它们主要通过 ReCaptcha（ClickFix）和伪造谷歌 Chrome 更新页面诱骗用户安装恶意软件，恶意文件通常以“dropper.apk”和“no_dropper.apk”形式存在。

从权限请求与恶意行为来看，ToxicPanda的APK文件请求58项权限，多项具有恶意倾向。如短信权限可绕过双因素认证、拦截通知。系统覆盖权限能创建模仿真实银行应用的覆盖屏幕。持久化权限确保其长期驻留设备。进一步感染相关权限助力扩散或清除障碍。搜索功能用于查找银行和钱包应用。新的反模拟功能及特殊权限BIND_ACCESSIBILITY_SERVICE若获授权，可完全控制设备。该恶意软件会伪装成“谷歌Chrome”应用，诱骗用户启用辅助功能，一旦授权，便在后台修改设置和获取权限，期间调高音量能听到后台触摸“点击”声。

在钓鱼覆盖层方面，ToxicPanda与控制服务器（C2）初始通信时，会接收含39个条目的JSON payload，每个对应一个银行应用及自定义钓鱼覆盖层，例如针对葡萄牙Bankinter银行应用的覆盖层与真实登录界面完全一致。部分覆盖层使用“through”标志，将用户输入发送到背后合法应用，恶意软件借此绕过原生保护机制，捕获用户凭证并执行未授权转账。尽管安卓14及以上版本有相关防护功能，但未被广泛采用，即便采用，恶意软件仍能窃取凭证。此外，还有与数百个银行和数字钱包应用相关的默认覆盖层。

网络与基础设施方面，最新样本在沙箱环境中无法完全运行，增加了获取C2通信信息的难度。其反模拟检查针对多种模拟器特征，新添加的机制包括蓝牙检查、环境光传感器检查和电话功能检查，若判断运行在模拟器中，可能休眠或自行卸载。ToxicPanda的新版本采用DGA生成大量C2域名，每月生成一个二级域名，循环添加顶级域名寻找有响应的域名，请求成功会收到特定响应，失败则fallback到“dom.txt”文件，而顶级域名循环的可预测性成为漏洞。加密方面，使用AES/ECB/PKCS5Padding和DES/CBC/PKCS5Padding两种方式，AES用于加密通信内容，DES用于加密特定字符串到“dom.txt”文件，且存在相关密钥和初始化向量。2025年6月以来，fallback域名变为ksicngtw[.]org，其相关IP和另一域名d7472ad157[.]lol 也有特殊关联，APK中还有受密码保护的ZIP文件。ToxicPanda不断更新命令集，新增了多个命令，同时采用多种持久化技术确保持续活跃，用户无法像卸载普通应用那样移除它，需通过“adb”连接设备执行特定命令。

图 2 攻击示意图

参考链接：

https://www.bitsight.com/blog/toxicpanda-android-banking-malware-2025-study

Gunra勒索软件组织推出高效Linux变种，提升攻击效率

根据趋势科技（Trend Micro）的最新研究，Gunra勒索软件组织推出了一种高效的Linux变种，通过多线程加密技术和部分加密功能，显著提升其攻击效率，进一步扩大了其攻击范围，展现出跨平台攻击的战略意图。该变种自2025年4月首次被发现以来，已对巴西、日本、加拿大、土耳其、韩国、台湾和美国等多个国家和地区的企业造成威胁，涉及医疗、制造、运输、法律咨询、IT和农业等多个行业。据悉，Gunra勒索软件团伙通过其泄露网站宣称已成功攻击14家受害者，其中包括迪拜一家医院，涉嫌泄露高达40TB的数据。

技术分析显示，这款Linux变种在多个方面展现出独特的设计理念。最引人注目的是其支持最高100个并行加密线程的能力，这一特性远超同类勒索软件通常支持的50个线程上限，使得加密效率得到质的飞跃。攻击者可以通过命令行参数灵活配置目标文件类型，既可以选择加密特定扩展名的文件，也可以选择对目录下的所有文件进行加密。更值得注意的是，该变种创新性地引入了部分加密功能，允许攻击者精确控制每个文件的加密比例，这一设计既保证了破坏效果，又可能帮助规避某些安全检测。

在加密算法方面，Gunra采用了RSA和ChaCha20的混合加密方案。执行时需要提供包含RSA公钥的PEM文件路径，用于加密随机生成的ChaCha20密钥。加密完成后，文件会被追加.ENCRT扩展名。与常见勒索软件不同，该Linux变种并未包含勒索提示文件，这表明其设计重点更倾向于快速完成加密破坏而非直接勒索。另一个值得关注的技术细节是，攻击者可以选择将RSA加密的密钥单独存储在密钥库文件中，这一设计可能旨在规避某些安全工具的检测或简化密钥管理流程。此外，该变种还支持对块设备的加密功能，只需通过特定参数即可启用，进一步扩大了其潜在破坏范围。

图 3 Gunra勒索软件的Linux变种使用的加密工作线程

参考链接：

https://www.trendmicro.com/en_us/research/25/g/gunra-ransomware-linux-variant.html