PLUGGYAPE 惡意軟體
烏克蘭電腦緊急應變小組(CERT-UA)揭露了一波針對國家國防機構的新網路攻擊。這些攻擊發生在2025年10月至12月期間,涉及一種先前未被記錄的惡意軟體,名為PLUGGYAPE。這次攻擊活動凸顯了針對烏克蘭目標的社交工程策略和技術複雜性的持續演變。
目錄
歸因與威脅行為者概況
這項活動已被初步認定與一個名為「虛空暴雪」(Void Blizzard,又稱為「洗衣熊」或「UAC-0190」)的俄羅斯關聯駭客組織有關。情報評估顯示,該組織至少從2024年4月起就已活躍。他們近期的行動表明,其目標主要集中在軍事和國防相關領域。
社會工程是初始准入的核心
感染鏈並非始於漏洞利用,而是始於欺騙。攻擊者透過Signal和WhatsApp等廣受信任的即時通訊平台發動攻擊。他們冒充慈善組織的代表,誘騙受害者點擊鏈接,訪問虛假的人道主義網站,例如harthulp-ua.com和solidarity-help.org等域名。這些網站模仿合法基金會,並託管受密碼保護的惡意檔案。
攻擊者越來越依賴已被攻破或精心偽造的烏克蘭行動營運商帳戶。通訊使用烏克蘭語,可能包括語音或視訊通話。在許多情況下,攻擊者對受害者的背景、組織和營運環境表現出極高的了解,這顯著提高了社會工程攻擊的成功率。
PLUGGYAPE 內幕:惡意軟體的功能與演變
下載的壓縮包會部署一個使用 PyInstaller 建置的可執行文件,該檔案會安裝 PLUGGYAPE 後門。該惡意軟體以 Python 編寫,使操作者能夠在受感染的系統上遠端執行任意程式碼。隨著時間的推移,新變種融合了更強大的混淆技術和反分析機制,旨在防止在虛擬化或研究環境中執行。
PLUGGYAPE 使用 WebSocket 連接與其營運商通信,並且自 2025 年 12 月起也支援 MQTT 協議,從而增強了其靈活性和彈性。這種通訊通道允許對受感染主機進行持續控制,並方便攻擊者快速執行任務。
指揮控制韌性與作戰安全
攻擊者並非將控制伺服器位址直接嵌入惡意軟體,而是從 rentry.co 和 pastebin.com 等公用貼上服務中取得指令與控制端點。這些位址以 base64 編碼形式存儲,使攻擊者能夠在不重新部署惡意軟體的情況下快速更改基礎設施。這種方法增加了清除難度,但如果已知伺服器被發現並遭到破壞,則能增強營運的連續性。
威脅傳播方式向基於即時通訊工具的廣泛轉變
CERT-UA強調,行動裝置和個人電腦上的熱門即時通訊應用正迅速成為網路威脅傳播的主要管道。這些應用程式的普及性、用戶信任度以及即時互動功能,使其成為傳播惡意工具和操縱受害者的有效平台。
