俄罗斯关联APT组织UAC-0063利用HATVIBE恶意软件对哈萨克斯坦发起双击间谍行动

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

随着网络威胁的日益复杂化，俄罗斯关联的高级持续性威胁（APT）组织UAC-0063再度成为焦点。据报道，该组织近期通过“双击”（Double-Tap）感染链对哈萨克斯坦展开了网络间谍活动，目标直指中亚的经济和政治情报。这一行动暴露了新型恶意软件HATVIBE的独特威胁能力，也引发了国际社会对中亚网络安全形势的高度关注。  

UAC-0063：潜伏在中亚的网络间谍  

UAC-0063是一个与俄罗斯情报机构有联系的APT组织，其主要目标包括乌克兰、中亚、东亚以及欧洲的政府机构。据乌克兰计算机应急响应团队（CERT-UA）披露，该组织自2023年初以来，便频繁利用复杂的网络攻击手段窃取敏感情报。  

UAC-0063的武器库中包含多种恶意软件家族，包括：  

HATVIBE：一种恶意加载器，负责下载和执行后续模块。  

CHERRYSPY：基于Python的后门工具，擅长情报窃取和远程控制。  

STILLARCH（又称DownEx）：一种高级的间谍软件。  

“双击”感染链：复杂的攻击流程  

UAC-0063的“双击”感染链被称为“创新性突破”。攻击者通过伪装成哈萨克斯坦外交部文件的武器化文档作为攻击载体，诱导受害者启用宏功能。  

一旦宏被激活，攻击链将执行以下步骤：  

1. 创建一个隐藏的Microsoft Word实例，打开第二个恶意文档。  

2. 利用隐藏的宏修改AccessVBOM注册表键，实现隐秘执行。  

3. 通过第二个文档丢弃并运行一个HTML应用程序（HTA）文件，其中嵌入了VBS后门HATVIBE。  

HATVIBE作为加载器，会下载更多模块，并最终部署CHERRYSPY后门，完成全面控制和数据窃取。  

独特之处：反安全防护的高级技巧  

“双击”感染链中包含许多绕过安全防护的创新技术，例如：  

恶意宏隐藏：将真正的恶意代码存储在settings.xml文件中，避免被常规检测工具发现。  

任务计划伪装：通过不调用常规的schtasks.exe程序创建计划任务，实现持久化。  

反模拟检测：宏会检查执行时间是否被修改，如发现异常则立即停止执行。  

这些独特的技巧让UAC-0063的攻击活动更具隐蔽性和持续性，堪称“APT艺术级”操作。  

为何选中哈萨克斯坦？  

哈萨克斯坦是中亚的重要经济和政治枢纽，也是俄罗斯在该地区的重要合作伙伴。UAC-0063的行动似乎与俄罗斯在外交和经济上的战略目标高度一致。2024年11月，俄罗斯总统普京访问哈萨克斯坦期间，特别强调了两国关系的重要性。此次网络间谍活动的目的可能是：  

1. 获取哈萨克斯坦与其他国家的外交情报。  

2. 监控中亚地区的经济发展动态。  

3. 为俄罗斯在中亚的地缘政治布局提供支持。  

APT28的影子：与俄罗斯军事情报的联系  

UAC-0063的活动与俄罗斯军事情报部门GRU的APT28组织高度重叠。APT28以复杂的网络攻击手段和强大的情报搜集能力闻名，此次“双击”感染链的设计也体现了GRU惯用的攻击风格。  

应对之策：网络安全的全球协作  

随着APT组织的攻击手段日益升级，各国政府和机构必须采取更为主动的防御措施：  

1. 加强文件安全管理：对电子文档启用严格的安全检查，禁止启用未经验证的宏功能。  

2. 监控注册表和任务计划：部署高级检测工具，及时识别异常行为。  

3. 国际信息共享：加强跨国情报合作，共同打击APT组织的威胁活动。  

结语：中亚网络安全的警钟  

UAC-0063对哈萨克斯坦的攻击不仅是一场单一的间谍活动，更是对中亚网络安全防线的一次全面挑战。通过揭示这些复杂的攻击链条和背后的战略意图，我们希望能够引起更多国家和机构的重视，共同构建一个更安全的网络环境。  

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯关联APT组织UAC-0063利用HATVIBE恶意软件对哈萨克斯坦发起“双击”间谍行动