【安全资讯】UAC-0099组织升级攻击工具链：MATCHBOIL、MATCHWOK与DRAGSTARE恶意软件分析

概要：

乌克兰CERT-UA近期披露黑客组织UAC-0099针对政府、国防部门及军工企业的新型攻击活动。该组织采用升级版工具链（MATCHBOIL、MATCHWOK、DRAGSTARE），通过钓鱼邮件投递恶意HTA文件，利用PowerShell脚本实现持久化控制，并窃取敏感数据。攻击技术呈现高度模块化与反检测能力，反映出该组织战术的持续进化。

主要内容：

第一阶段攻击通过伪装成法院传票的钓鱼邮件（使用UKR.NET邮箱）传播，邮件内含短链接指向双重压缩的HTA文件。该文件包含混淆VBScript代码，可生成PowerShell脚本（temporarydoc.txt）并创建计划任务（PdfOpenTask），最终部署MATCHBOIL加载器。该加载器采用C#开发，通过HTTP协议与C2服务器通信，使用CPU序列号等硬件信息生成唯一标识符，并利用欧拉函数计算动态请求头实现隐蔽通信。

MATCHWOK后门同样基于C#开发，采用AES-256加密命令传输，通过PowerShell运行时编译执行指令。其反分析机制会检测IDA Pro等调试工具进程，并通过注册表实现持久化。数据窃取模块DRAGSTARE可收集系统信息、浏览器凭证（Chrome/Mozilla）及特定格式文档（.docx/.pdf等），使用ZIP压缩后外传，并采用DPAPI加密C2地址存储于config.conf文件。

技术分析显示，该攻击链通过多阶段载荷分离（HTA→PowerShell→EXE）规避检测，利用合法云服务托管恶意组件，并采用BASE64/HEX多层编码。攻击影响涉及乌克兰关键基础设施，暴露出高级持续性威胁(APT)在武器库更新和战术规避方面的显著提升。