俄罗斯军事黑客在乌克兰部署恶意 Windows 激活工具

admin 2026-4-19 07:16 102人围观资讯

据EclecticIQ威胁分析师披露，俄罗斯军事网络间谍组织Sandworm正在针对乌克兰的Windows用户，通过恶意的微软密钥管理服务（KMS）激活工具和伪装的Windows更新进行攻击。这些攻击可能始于2023年末，基于重叠的基础设 ...

据EclecticIQ威胁分析师披露，俄罗斯军事网络间谍组织Sandworm正在针对乌克兰的Windows用户，通过恶意的微软密钥管理服务（KMS）激活工具和伪装的Windows更新进行攻击。这些攻击可能始于2023年末，基于重叠的基础设施、一致的战术、技术与程序（TTPs）以及频繁使用的ProtonMail账号注册攻击域名，被EclecticIQ确认为与Sandworm黑客相关。

攻击者还利用BACKORDER加载器部署DarkCrystal RAT（DcRAT）恶意软件（此前Sandworm攻击中也曾使用），并且调试符号引用了俄语构建环境，进一步证实了研究人员对俄罗斯军事黑客参与其中的信心。

EclecticIQ识别出七个与同一恶意活动集群相关的恶意软件分发活动，每个活动都使用类似的诱饵和TTPs。最近一次是在2025年1月12日，分析师观察到攻击者利用拼写错误的域名，通过DcRAT远程访问木马进行数据泄露攻击。

一旦在受害者的设备上部署，假冒的KMS激活工具会显示一个伪造的Windows激活界面，在后台安装恶意软件加载器，并禁用Windows Defender，随后传递最终的RAT负载。

这些攻击的最终目的是从受感染的计算机中收集敏感信息，并将其发送到攻击者控制的服务器。恶意软件会窃取键盘输入、浏览器Cookie、浏览历史记录、保存的凭据、FTP凭据、系统信息和屏幕截图。

Sandworm使用恶意Windows激活工具的动机可能是由于乌克兰广泛使用盗版软件，这为攻击者提供了巨大的攻击面，甚至影响到该国的政府机构。EclecticIQ表示：“许多用户，包括企业和关键实体，都从不可信的来源转向使用盗版软件，这为Sandworm（APT44）等对手提供了将恶意软件嵌入广泛使用程序的绝佳机会。”这种策略使得大规模间谍活动、数据盗窃和网络入侵成为可能，直接威胁到乌克兰的国家安全、关键基础设施和私营部门的韧性。

Sandworm（也被追踪为UAC-0113、APT44和Seashell Blizzard）是一个自2009年以来一直活跃的黑客组织，隶属于俄罗斯军事情报局（GRU）的第74455军事单位，主要针对乌克兰发动破坏性和破坏性攻击。