俄罗斯间谍组织伪装Windows更新，乌克兰敏感数据遭窃

俄罗斯军事网络间谍组织 Sandworm 正在针对乌克兰 Windows 用户发起攻击，主要通过恶意的微软密钥管理服务（KMS）激活工具和伪装的 Windows 更新进行。

据 EclecticIQ 威胁分析师披露，俄罗斯军事网络间谍组织 Sandworm 正在针对乌克兰的 Windows 用户，通过恶意的微软密钥管理服务（KMS）激活工具和伪装的 Windows 更新进行攻击。

这些攻击可能始于 2023 年末，基于重叠的基础设施、一致的战术、技术与程序（TTPs）以及频繁使用的 ProtonMail 账号注册攻击域名，被 EclecticIQ 确认为与 Sandworm 黑客相关。

攻击者还利用 BACKORDER 加载器部署 DarkCrystal RAT（DcRAT）恶意软件（此前 Sandworm 攻击中也曾使用），并且调试符号引用了俄语构建环境，进一步证实了研究人员对俄罗斯军事黑客参与其中的信心。

EclecticIQ 识别出七个与同一恶意活动集群相关的恶意软件分发活动，每个活动都使用类似的诱饵和 TTPs。最近一次是在 2025 年 1 月 12 日，分析师观察到攻击者利用拼写错误的域名，通过 DcRAT 远程访问木马进行数据泄露攻击。

一旦在受害者的设备上部署，假冒的 KMS 激活工具会显示一个伪造的 Windows 激活界面，在后台安装恶意软件加载器，并禁用 Windows Defender，随后传递最终的 RAT 负载。

这些攻击的最终目的是从受感染的计算机中收集敏感信息，并将其发送到攻击者控制的服务器。恶意软件会窃取键盘输入、浏览器 Cookie、浏览历史记录、保存的凭据、FTP 凭据、系统信息和屏幕截图。

Sandworm 使用恶意 Windows 激活工具的动机可能是由于乌克兰广泛使用盗版软件，这为攻击者提供了巨大的攻击面，甚至影响到该国的政府机构。

EclecticIQ 表示：“许多用户，包括企业和关键实体，都从不可信的来源转向使用盗版软件，这为 Sandworm（APT44）等对手提供了将恶意软件嵌入广泛使用程序的绝佳机会。”

这种策略使得大规模间谍活动、数据盗窃和网络入侵成为可能，直接威胁到乌克兰的国家安全、关键基础设施和私营部门的韧性。

Sandworm（也被追踪为 UAC-0113、APT44 和 Seashell Blizzard）是一个自 2009 年以来一直活跃的黑客组织，隶属于俄罗斯军事情报局（GRU）的第 74455 军事单位，主要针对乌克兰发动破坏性和破坏性攻击。

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

本文来源：https://www.bleepingcomputer.com/news/security/russian-military-hackers-deploy-malicious-windows-activators-in-ukraine/

更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：俄罗斯间谍组织伪装Windows更新，乌克兰敏感数据遭窃