UAC-0099战术、技术与攻击方法揭秘

UAC-0099是一个自2022年起活跃的持续性威胁组织，针对乌克兰政府、军事和国防实体开展复杂的网络间谍活动。该组织在2023年6月、2024年12月和2025年8月的CERT-UA警报中记录了三次重大攻击活动，不断演进其攻击工具链。

初始攻击阶段

最初，UAC-0099通过鱼叉式钓鱼邮件分发基于PowerShell的LONEPAGE加载器，邮件中包含伪装成法律传票的恶意.LNK快捷方式和.HTA文件附件。该组织还获取了THUMBCHOP（用于窃取浏览器凭证）和CLOGFLAG（用于键盘记录）等二级有效载荷，并通过计划任务和注册表运行键建立持久性。

攻击链演进

到2024年底，UAC-0099开始利用WinRAR漏洞CVE-2023-38831，在解压存档时自动执行恶意代码。LONEPAGE加载器演变为两阶段加载器，涉及由.NET二进制文件解密的3DES加密PowerShell代码，并通过Cloudflare代理的域名实现弹性的HTTP/HTTPS命令与控制(C2)通信。

2025年，该组织引入了全新的C#恶意软件套件：

• MATCHBOIL：作为主要加载器
• MATCHWOK：用于后门命令执行
• DRAGSTARE：通过HTA文件中的混淆VBScript部署，用于全面数据窃取

报告指出，该组织创建多个计划任务用于解码和持久执行，反映了向模块化、内存中技术的转变，同时保持Base64/十六进制混淆和伪装成合法进程等核心战术。

防御策略

根据MITRE ATT&CK框架，UAC-0099的战术包括：

• 初始访问：通过鱼叉式钓鱼(T1566.001/.002)
• 执行：利用用户触发的LOLBins如mshta.exe和PowerShell(T1059.001, T1218.005)
• 持久性：使用模仿系统更新的计划任务(T1053.005)和注册表自动运行(T1547.001)

防御规避技术包括多层编码、进程注入和针对Wireshark等调试器的反分析检查。凭证访问针对浏览器存储通过DPAPI解密(T1555.003)，发现阶段枚举系统/网络详情(T1082, T1016)以便横向移动。

C2通信依赖隐藏在<script>标签中的加密Web协议(T1071.001, T1573)，通过HTTPS(T1041)外传存档文件，通常通过Cloudflare代理(T1090.003)。

恶意软件功能已整合：

• MATCHBOIL使用源自硬件指纹的自定义HTTP头(如"SN")下载有效载荷
• MATCHWOK从重命名的解释器执行AES加密的PowerShell命令
• DRAGSTARE窃取敏感扩展名的文件、截图和侦察数据，暂存在%LOCALAPPDATA%\NordDragonScan等文件夹中

攻击模式包括用户目录(%APPDATA%, %PUBLIC%)中的无害文件名，以及混合"Core"和"Update"等术语的任务命名以逃避检测。

缓解措施

为应对这些威胁，组织应：

• 通过AppLocker限制脚本工具
• 启用PowerShell日志记录以捕获编码命令
• 监控计划任务创建(事件ID 4698)
• 检测具有异常头部或域名的HTTP流量

网络分段、多因素认证和使用YARA规则定期扫描工件(如反虚拟机检查字符串)可以破坏持久性和数据外传，确保早期检测这一不断演变的威胁组织的活动。