鑽石舞台

自2022年2月24日俄烏衝突升級為全面戰爭後，俄羅斯試圖通過「閃電戰」的戰術快速結束戰爭的目的落空，直到2個多月的今天，此次戰爭仍處於膠着狀態，俄烏雙方均遭受到了非常嚴重的損失和傷亡。在殘酷的戰爭之下，雙方仍然不斷地在網絡戰場上進行着激烈的較量。在戰爭爆發當日，啟明星辰ADLab就對雙方網絡戰相關的威脅情報進行了整理，並且對烏克蘭背後的網絡攻擊和相關情報活動進行深入分析，發布了相關分析文章《烏克蘭戰爭背後的網絡攻擊和情報活動》；在3月份我們應邀撰寫了《【網絡戰】從烏克蘭戰爭談現代戰爭的第二戰場》的長篇報告，結合歷史上的對戰爭起着關鍵作用的網絡戰案例以及烏克蘭和俄羅斯之間長達30年的網絡對抗案例，全面分析了現代戰爭下的網絡戰技術、思想、作用及影響；近期，我們又接連捕獲到多起針對烏克蘭政府和單位的網絡攻擊活動，攻擊者藉以「烏克蘭防禦方式」、「烏克蘭報告_最終」、「日益複雜的俄烏危機解釋」和「泄露的克里姆林宮電子郵件顯示明斯克協議」等具有高度迷惑性的熱點誘餌文檔進行攻擊，試圖竊取相關政府單位的機密信息。

本文將對自戰爭以來我們所監控到的網絡攻擊事件進行梳理和匯總，同時從多個角度出發，對部分典型的網絡攻擊事件進行深入剖析。

自戰爭爆發以來，網絡空間就成了俄烏雙方博弈和交鋒的第二戰場，根據烏克蘭CERT近期發布的消息，烏克蘭已經受到了至少12個黑客組織的攻擊。在這些攻擊中，黑客組織不僅針對烏克蘭政府、電信、國防、軍隊等要重要部門展開網絡攻擊，甚至還直接對烏克蘭能源等基建設施進行了破壞性網絡攻擊。根據啟明星辰ADLab的威脅情報數據及烏克蘭CERT-UA的公開報告，我們對自2022年3月以來烏克蘭所遭受的部分網絡攻擊安全事件進行了梳理和匯總，相關網絡攻擊事件的時間線如下圖所示。實際上，這些統計的網絡攻擊事件僅僅是實際攻擊情況的冰山一角；但仍不難看出，戰爭期間針對烏克蘭的網絡攻擊者眾多，其中不乏「InvisiMole」、「Vermin」、「APT-28」等著名黑客組織，相關網絡攻擊活動亦格外頻繁。

3月6日，啟明星辰ADLab監測到了一批針對烏克蘭政府機構的網絡攻擊活動。在此次攻擊活動中，攻擊者利用攜帶惡意宏或漏洞惡意文件作為初始攻擊載荷，誘使受害者信任並執行後續的QuasarRAT惡意木馬，試圖從受害主機中竊取敏感文件。烏克蘭CERT也將此次事件的攻擊者命名為「UAC-0086」，攻擊者使用的部分誘餌文檔如下所示。

（1）誘餌文檔示例一：偽裝成ISW（戰爭研究研究所）機構文件

（3）誘餌文檔示例三：「The increasinglycomplicated Russia-Ukraine crisis explained」（「日益複雜的俄羅斯-烏克蘭危機解釋」）報告文件

3月7日，被烏克蘭CERT命名為「UAC-0051」的黑客組織使用惡意軟件MicroBackdoor對烏克蘭多個國家部門和單位開展了多次網絡攻擊活動。其中，相關的誘餌文件和部分惡意文件代碼如下圖所示。

3月9日，被烏克蘭CERT命名為「UAC-0041」的黑客組織將「Лист про затвердження гарантіїгрошових коштів」（「現金擔保批准函」）作為郵件標題，並以「戰爭和提供財政援助議題」為郵件內容，向烏克蘭政府機構和單位進行大量的投遞。其中，「support letter.xlsx」郵件附件是攜帶宏代碼的惡意文檔，受害者一旦啟用宏，該宏則會從攻擊者的服務器上下載Formbook/XLoader惡意程序，攻擊者即可開展進一步的網絡攻擊活動。此次攻擊活動的相關文件的具體信息如下圖所示。

3月11日，被烏克蘭CERT命名為「UAC-0056」的黑客組織偽裝成「sed-rada.gov.ua」（北頓涅茨克軍民總署）向烏克蘭國家機構大規模分發釣魚郵件。該郵件中包含兩個誘餌文檔，且郵件正文中宣稱要求各機構從「https://forkscenter.fr」網站下載並安裝防病毒軟件的更新文件「BitdefenderWindowsUpdatePackage.exe」。當該EXE文件成功執行後，最終會從指定服務器上下載並執行GraphSteel和GrimPlant後門，以便攻擊者完成進一步的網絡竊密目標。此次攻擊事件的相關文件如下圖所示：

3月15日，ESET在烏克蘭發現第三個破壞性擦除器CaddyWiper，其中前兩個破壞型擦除器分別是於2月23日首次發現的HermeticWiper和在2月24日第二次發現的IsaacWiper。此外，與此擦除器相關的黑客組織也被烏克蘭CERT命名為「UAC-0082」。破壞性擦除器CaddyWiper中的「遍歷磁盤文件並銷毀」功能的代碼如下圖所示：

3月16日，疑似APT28（UAC-0028）黑客組織模仿來源於UKR.NET消息的釣魚郵件，郵件正文中使用URL短鏈接服務創建的二維碼，引導目標用戶進行訪問。一旦用戶訪問後，則會被重定向到偽裝的UKR.NET密碼重置頁面的釣魚網站，繼而通過HTTP POST請求將用戶輸入的數據發送到攻擊者在Pipedream平台賬戶中。

模仿來自UKR.NET的電子郵件內容

UKR.NET密碼重置偽造頁面

3月17日，由Vermin (UAC-0020) 組織偽裝為「烏克蘭國防部」向烏克蘭國家政府機構投遞主題為「供應」的釣魚郵件。郵件中攜帶一個加密的RAR文件，壓縮包中包含一個文件快捷方式和一個EXE文件，當打開快捷方式時，將執行EXE文件。隨後，受害者的主機會被惡意軟件SPECTR攻擊，該惡意軟件包括：SPECTR.Usb、SPECTR.Shell、SPECTR.Fs、SPECTR.Info、SPECTR.Archiver等模塊。部分文件內容如下圖所示。

3月17日，UAC-0088組織使用 DoubleZero對烏克蘭的部分企業進行網絡攻擊。在此次攻擊事件中，被發現的壓縮包名為「Вирус... крайне опасно!!!.zip」（「病毒...非常危險! ! !」），該壓縮包包含兩個文件：cpcrs.exe和csrss.exe。通過分析發現，它們使用C#編寫並被歸類為DoubleZero病毒。該病毒會覆蓋磁盤上所有的非系統文件，並按照一定的順序進行重寫。

3月18日，InvisiMole（UAC-0035）組織針對烏克蘭國家政府機構和國防單位發起了魚叉式網絡釣魚郵件攻擊。郵件附件是名為「501_25_103.zip」的壓縮包文件，其中包含501_25_103.lnk快捷方式。當運行惡意快捷方式時，該快捷方式會訪問攻擊者服務器並下載和執行HTA文件。之後，HTA文件再從黑客服務器上下載並運行誘餌文檔501_25_103.doc和後門程序LoadEdge。

3月22日，Scarab APT組織（UAC-0026）使用 HeaderTip 惡意軟件發起針對烏克蘭政府部門和單位的網絡攻擊。啟明星辰ADLab最初捕獲到了名為「Прозбереження відеоматеріалів з фіксацією злочинних дій арміїросійськоїфедерації.rar」的壓縮包文件，裡面包含同名的EXE文件。該惡意文件執行後會釋放並打開無害的誘餌文檔（「#2163_02_33-2022.pdf」），同時釋放和執行批處理文件（「officecleaner.bat」），之後，bat文件釋放「httpshelper.dll」惡意文件，並調用rundll32.exe執行該惡意木馬。

壓縮包文件內容

誘餌文檔相關內容

3月23日，疑似UNC1151黑客組織（UAC-0051）使用惡意軟件Cobalt Strike Beacon對烏克蘭國家部門和單位進行網絡攻擊。被發現的惡意壓縮包名為「Диверсанти.rar」，其包含名為「Диверсанти 21.03.rar」的壓縮包，而該壓縮包又包含「Диверсанти filerar.scr」的SFX文件，似乎藉以隱藏文件的.scr擴展名。此次攻擊事件中的sfx文件包含誘餌文檔和圖片，以及惡意VBS代碼。該惡意vbs代碼會創建和運行名為「dhdhk0k34.com」的 .NET程序，最終執行Cobalt Strike Beacon木馬，相關的惡意文件內容如下圖所示:

3月28日，UAC-0056組織針對烏克蘭政府（包括私人電視頻道ICTV）投遞主題為「Заборгованість по зарплаті」（「拖欠工資」）的釣魚郵件，該釣魚郵件中包含Excel文檔的附件文件與郵件主題名稱相同，使受害人減少防備然後打開惡意文件。該惡意文檔中包含一個嵌入的宏，以及部分隱藏在表格中的有效載荷。

其中，「oracle-java.exe」（Elephant Implant/被稱為GrimPlant後門）是此次攻擊中最重要的惡意程序，Implant可以通過4種RPC請求與C2進行通信，向C2發送信息並且接收相關指令，相關RPC請求如下所示：

而「microsoft-cortana.exe」則是一個數據竊取軟件，其主要功能包括收集受害者主機名、操作系統名稱（windows）、CPU數量、IP地址、名稱、用戶名和主目錄、瀏覽器憑據、無線網絡信息、憑證管理器數據、郵件帳戶、Putty連接數據、Filezilla 憑據以及受害者用戶目錄中所有文件，並進行哈希處理，發送到指定的C2服務器上。

3月30日，被烏克蘭CERT命名為「UAC-0041」的黑客組織以「Нова програма для запису в журналi.」（「新期刊錄入計劃」）為主題對烏克蘭政府機構和單位進行大量的釣魚郵件攻擊。郵件正文中包含關於「електронних навчальних журналів」（「電子學習期刊」）的相關信息，以及MarsStealer木馬的下載鏈接和文檔密碼。其中，MarsStealer木馬是一種常見的商業木馬，其主要功能包括收集被感染主機的敏感信息，從瀏覽器中竊取用戶的身份驗證數據，從加密錢包插件或多因素身份驗證程序中竊取文件，下載和運行可執行文件並截取屏幕截圖。

4月4日，被烏克蘭CERT命名為「UAC-0010」（疑似Armageddon）的黑客組織針對烏克蘭政府機構發送主題為「Інформація щодо військових злочинців РФ」（譯：俄羅斯聯邦戰犯記錄）的釣魚郵件，郵件附件為「ВійськовізлочинціРФ.htm」（譯：俄羅斯聯邦的戰犯.htm）。

該壓縮包包含一個名為「Військові-злочинці що знищують Україну (домашніадреси, фото, номера телефонів, сторінки у соціальних сетях)」（譯：「摧毀烏克蘭的戰犯（家庭住址，照片，電話號碼，社交網站中的頁面）」）的lnk文件。

該lnk文件將會從黑客服務器上下載下一階段的攻擊武器，即一個包含VB代碼的HTA文件。此HTA文件會從黑客服務器上下載get.php，而該文件實際上卻是一個powershell腳本，其主要用於確定計算機的唯一標識符。

4月12日，被披露由俄羅斯國家資助的APT組織Sandworm（烏克蘭CERT命名為「UAC-0082」）使用惡意程序 INDUSTROYER2 和 CADDYWIPER，在4月8日試圖對一家大型烏克蘭能源供應商進行攻擊。此次攻擊事件的具體時間節點如圖所示：

從相關事件的分析報道中可以推測出攻擊者的部分目的：

（3）使用惡意破壞型腳本ORCSHRED、SOLOSHRED、AWFULSHRED對企業內部的Linux系統的服務器進行破壞攻擊。

4月14日，被烏克蘭CERT命名為「UAC-0098」的黑客組織利用名為「Мобілізаційний реєстр.xls」（「動員登記冊.xls」）的惡意文件對烏克蘭組織進行大規模網絡釣魚攻擊活動。一旦受害者打開文檔並啟用宏，惡意宏代碼會下載並執行名為「spisok.exe」的惡意代碼。其中，該「spisok.exe」惡意程序會釋放運行GzipLoader惡意軟件，並且從黑客服務器上下載並運行IcedID惡意程序，進行進一步的信息竊密活動。

3.1 攻擊事件一

2022年3月6日，啟明星辰ADLab檢測到一批針對於烏克蘭的網絡攻擊樣本，攻擊者藉以「烏克蘭防禦方式」、「烏克蘭報告_最終」、「日益複雜的俄烏危機解釋」和「泄露的克里姆林宮電子郵件顯示明斯克協議」等具有高度迷惑性的熱點誘餌文檔進行攻擊，以此誘使受害者信任並執行後續的惡意木馬。

通過對攻擊者的溯源和關聯分析，我們整理了其在此次攻擊活動中使用的惡意文件。具體信息如下表所示。

文件名

時間戳

1409GrandStrategy.docx

2013-10-31 15:25:00

200712005_Sep2019.docx

2013-10-31 15:25:00

Dominant_Narrative_Ukraine_Russia_Hutchings_Szostek.docx

2013-10-31 15:25:00

EPRS_STU(2022)642844_EN.docx

2013-10-31 15:25:00

Leaked_Kremlin_emails_show_Minsk_protoco.docx

2013-10-31 15:25:00

R147En.docx

2013-10-31 15:25:00

The_Surkov_Leaks_The_Inner_Workings_of_R.docx

2013-10-31 15:25:00

Ukraine Report_FINAL.docx

2013-10-31 15:25:00

facon_defense_ukrainienne_ru_2022.docx

2022-03-01 00:26:00

Ukraine_Report_FINAL.doc

2022-03-07 03:56:00

Ukraine Conflict Update.doc

2022-03-16 07:53:00

Ukraine Conflict Update 16_0.doc

2022-03-16 15:44:00

Ukraine Report_FINAL.zip

2022-03-06 12:57:03

The increasingly complicated Russia-Ukraine crisis explained.zip

2022-03-14 15:45:34

在此次活動的初始攻擊環節中，攻擊者主要使用了三種格式的攻擊載荷，其中包括攜帶惡意宏的惡意文檔、攜帶漏洞的惡意文檔和惡意壓縮包文件。

（1）攜帶惡意宏的惡意文檔

該惡意文檔以「Leaked Kremlin emails show Minsk protocol designed as path toUkraine's capitulation」（譯：「泄露的克里姆林宮電子郵件顯示，明斯克協議被設計成烏克蘭投降的途徑」）作為誘餌內容，並提示受害者「啟用宏」。具體內容如下圖所示。

當受害者打開該文檔並啟用宏代碼功能後，將自動調用Document_Open函數，其主要功能為提取並執行保存在UserForm1中的powershell指令。

另一種類型是RAR壓縮包文件，攻擊者將其命名為「The increasinglycomplicated Russia-Ukraine crisis explained」，該壓縮文件包含用於迷惑受害者的正常pdf誘餌文檔以及偽裝成pdf文件圖標的二進制可執行惡意程序（通過修改exe圖標為文檔來誘導受害者點擊）。

（3）攜帶漏洞的惡意文檔

攻擊者在此次攻擊行動中使用的是office漏洞cve-2021-40444，該漏洞是微軟於2021年9月公布的一個MicrosoftMSHTML遠程代碼執行漏洞。攻擊者可製作一個由託管瀏覽器呈現引擎的 Microsoft Office 文檔使用的惡意 ActiveX 控件，之後誘導用戶打開惡意文檔，則可在目標系統上以該用戶權限執行任意代碼。

我們將攜帶漏洞的惡意文檔解壓後，在rels的document.xml文件中發現了可疑的下載鏈接：Target="mhtml:https://web.sunvn.net/QYWI6LH4M71O.html!x-usc:https://web.sunvn.net/QYWI6LH4M71O.html"。

嘗試下載該QYWI6LH4M71O.html文件，發現服務器已無法訪問了，經驗證該域名已經失效。

在進一步的分析後，我們發現攻擊者使用了定製的POC模板進行批量自動化生成惡意文檔，且對各漏洞文檔中包含的下載鏈接所指向的html均進行了隨機化處理。

3.1.2 後門分析

具體功能如下表所示。

功能

TCP網絡流（支持IPv4和IPv6）

快速網絡序列化（協議緩衝區）

壓縮（QuickLZ）和加密（TLS）通信

多線程

UPnP支持

No-Ip.com支持

訪問網站（隱藏且可見）

任務管理器

文件管理器

啟動管理器

遠程桌面

遠程Shell

遠程執行

下載並執行

上傳並執行

系統信息

註冊表編輯器

計算機命令（重啟，關機，待機）

鍵盤記錄器（Unicode支持）

反向代理（SOCKS5）

密碼恢復（通用瀏覽器和FTP客戶端）

3.2 攻擊事件二

2022年3月22日，啟明星辰ADLab捕獲到一個針對烏克蘭的攻擊樣本。攻擊者通過類似「關於保存俄羅斯聯邦軍隊犯罪行為的視頻記錄」等具有迷惑性的文件名來誘使受害者執行惡意木馬，以此達到對特定攻擊目標實施入侵的目的。我們對此次攻擊活動的線索進行了深入的追蹤和溯源分析，發現其與歷史悠久的Scarab黑客組織具有一定的相似性。

3.2.1 溯源分析

我們從此次黑客組織所使用的基礎設施及攻擊手法等層面進行關聯分析，並結合該組織早期攻擊活動中的相關特徵，得出了下面幾處重要的關聯點。

（1）基礎設施

通過提取所有樣本中的C2服務器，我們發現攻擊者在此次活動中所使用的回聯域名，是在ChangeIp.com平台上免費註冊的三級子域（該平台提供的免費域實際上是二級域，如下圖所示）。

攻擊者在此次攻擊活動中，是以惡意壓縮包作為攻擊載荷，雖然我們未能確定該文件是否通過電子郵件進行投遞。但通過對Scarab黑客組織早期的攻擊載荷進行全面地收集和分析後，我們觀察到該組織慣於使用壓縮包作為第一階段的誘餌文檔。具體如下圖所示。

而在此次活動中，攻擊者改用了與壓縮包同名的EXE可執行文件來進行入侵行為。但與早期手法相似的是，在執行完此階段的攻擊載荷後，其都會在%TMP%目錄下寫入並打開一個無害的與主題相關的文檔，用以迷惑受害者。具體如下圖所示。

除了以上羅列出的攻擊手法同Scarab黑客組織具有一定的重疊性以外，在後續攻擊中攻擊者使用到的惡意腳本和木馬（包括文件名稱和內容）均為該組織所有。

基於該組織的域名使用喜好、攻擊手法和入侵策略等方面的對比分析，我們初步判斷本次的攻擊活動來自Scarab黑客組織。值得注意的是，Scarab黑客組織曾被部分國外公司標記為來自中國的黑客組織。然而，我們對這些公司提供的詳細報告和所謂的證據進行仔細分析後發現，所謂的證據不過是無法提供的「基於語言的資源」和誘餌文檔中的中文「用戶」二字，這顯然太過牽強，我們並不知道該公司把攻擊歸咎於中國的目的是什麼，但這種「根據無力的證據就把網絡攻擊歸咎於中國」的牽強邏輯並不少見，其背後的推手及其目的早已昭然若揭。

3.2.2 技術分析

此次攻擊活動中，啟明星辰ADLab捕獲到了該組織使用RAR文件的方式來展開攻擊。我們雖未能確定該惡意文件的來源，但根據以往的攻擊，可以推斷Scarab組織有可能是利用釣魚郵件，將壓縮包作為附件從而進行攻擊行動。當壓縮包中的exe文件被執行後，會釋放並打開無害的誘餌pdf文檔，同時在%TEMP%目錄下寫入並執行「officecleaner.bat」批處理文件。之後，bat文件則在同目錄下釋放「httpshelper.dll」惡意文件，並調用rundll32.exe執行惡意木馬。單從功能來看，此木馬僅包含簡單的上傳下載文件、設置休眠時間等，但是，其可直接從命令和控制（C2）服務器上，下載加載特定功能模塊來進一步的執行惡意操作。

（1）初始載荷

啟明星辰ADLab最初發現的RAR文件，名稱為「прозбереженнявзеоматеріалівзфіксацішйармішїРосійськоюфедераціїїїї.rar」（譯：「關於保存俄羅斯聯邦軍隊犯罪行為的視頻記錄.rar」），壓縮包中包含一個同名的EXE可執行文件。

「officecleaner.bat」的主要功能為，替換%TMP%目錄下「officecleaner.bat」的MZ頭部並在同目錄下寫入「httpshelper.dll」文件，之後刪除bat批處理文件，以及添加開機啟動項確保此DLL文件的持久化。

該主功能函數首先通過PEB動態獲取後期所使用的API函數。

當與服務器成功連接後，則根據服務器的控制指令來進行相應的操作。控制指令較簡單，包括上傳文件、下載文件、接收發送指定數據和指定休眠時間等。

俄烏戰爭爆發以來，雙方除了在實地戰場進行交鋒外，在網絡空間戰場中進行的博弈也愈加激烈；不難發現，網絡空間戰已成為現代戰爭的重要組成部分，網絡戰對現代戰爭局勢的影響同樣重要。在俄烏戰爭全面爆發之前，雙方在網絡空間戰場就早已交鋒，只不過網絡戰發生於一個「無聲的並且沒有硝煙的戰場」，並不為公眾所關注，但其對實地戰爭的影響卻舉足輕重；比如，在烏俄戰爭爆發當天，俄羅斯對烏克蘭的部分軍事基地進行「定點清除攻擊」，直接導致烏克蘭失去在第一時間內反擊的能力，此「定點清除攻擊」背後所涉及的情報很可能就是從網絡戰中獲取；戰爭全面爆發後，雙方在網絡戰場的交鋒更加激烈，各種網絡攻擊事件頻發，網絡攻擊一方面能夠竊取對手手中與戰爭緊密相關的機密信息，另一方面破壞網絡和其他基礎設施也能震懾對手，擾亂對手對實地戰局的局勢判斷，從而影響戰局走勢。結合本次攻擊活動分析及以往我們對烏克蘭遭受的黑客攻擊的分析——《烏克蘭戰爭背後的網絡攻擊和情報活動》和《針對烏克蘭邊防局和國防部攻擊活動深度分析》，可以看出，網絡空間戰其實比實地戰爭爆發的時間更早，戰線更長並且隱蔽，網絡空間安全對國家安全的重要性不言而喻。