乌克兰国家特殊通信与信息保护局(SSSCIP)表示,2025年上半年(H1 2025),俄罗斯黑客在对乌网络攻击中使用人工智能(AI)的技术已达到新高度。该机构在周三发布的报告中指出:"黑客不仅利用AI生成钓鱼信息,我们分析的某些恶意软件样本还显示出明显的AI生成痕迹——攻击者显然不会止步于此。"
攻击态势升级
数据显示,2025年上半年共记录3018起网络攻击事件,较2024年下半年(H2 2024)的2575起有所上升。其中针对地方政府和军事实体的攻击有所增加,而针对政府和能源部门的攻击则有所减少。值得关注的攻击事件包括UAC-0219组织使用名为WRECKSTEEL的恶意软件攻击乌克兰国家行政机关和关键基础设施。有证据表明,这款基于PowerShell的数据窃取恶意软件是通过AI工具开发的。主要攻击活动盘点
- UAC-0218组织:针对国防部队发起钓鱼攻击,通过陷阱RAR压缩包分发HOMESTEEL恶意软件
- UAC-0226组织:针对国防工业创新研发机构、地方政府、军事单位和执法部门实施钓鱼攻击,分发名为GIFTEDCROOK的信息窃取程序
- UAC-0227组织:采用ClickFix式战术或SVG文件附件,向地方政府、关键基础设施及兵役与社会支持中心分发Amatera Stealer和Strela Stealer等窃密程序
- UAC-0125子集群(与Sandworm有关联):发送伪装成ESET安全公司的钓鱼邮件,通过所谓"威胁清除程序"分发名为Kalambur(又称SUMBUR)的C
零点击漏洞利用
SSSCIP还发现与俄罗斯有关的APT28(又称UAC-0001)组织正在利用Roundcube(CVE-2023-43770、CVE-2024-37383和CVE-2025-49113)及Zimbra(CVE-2024-27443和CVE-2025-27915)邮件系统的跨站脚本漏洞实施零点击攻击。该机构表示:"攻击者利用这些漏洞注入恶意代码,通过Roundcube或Zimbra的API获取凭证、联系人列表,并配置过滤器将所有邮件转发至攻击者控制的邮箱。"另一种凭证窃取方法是通过创建隐藏HTML区块(visibility: hidden),其中包含设置autocomplete='on'属性的登录凭证输入框,从而自动填充浏览器保存的凭证数据并实施窃取。混合战争策略
报告披露俄罗斯持续实施混合战争,将网络攻击与实体战场行动相配合。其中Sandworm(UAC-0002)组织主要针对能源、国防、互联网服务提供商和研究机构。此外,多个针对乌克兰的威胁组织正滥用Dropbox、Google Drive、OneDrive、Bitbucket、Cloudflare Workers、Telegram等合法服务托管恶意软件或钓鱼页面,甚至将其转变为数据外泄通道。SSSCIP指出:"滥用合法网络资源并非新战术,但近期俄罗斯黑客利用的此类平台数量正在持续增加。"参考来源:
From Phishing to Malware: AI Becomes Russia's New Cyber Weapon in War on Ukraine
https://thehackernews.com/2025/10/from-phishing-to-malware-ai-becomes.html本文素材(包括内容、图片)均来自互联网,仅为传递信息之用。如有侵权,请联系我们删除。
还没有评论,来说两句吧...