【安全资讯】UAT-5647针对乌克兰和波兰发动RomCom恶意软件攻击

概要：

在一场复杂而持续的网络攻击中，UAT-5647威胁组织对乌克兰和波兰的政府及相关实体发起了一系列针对性攻击，使用了臭名昭著的RomCom恶意软件变种。该组织与讲俄语的对手有联系，近期的攻击显示出其在数据外泄和勒索软件部署方面的双重策略，值得引起广泛关注。

主要内容：

UAT-5647自2023年底以来一直在进行针对乌克兰和波兰的网络攻击，研究人员指出，该组织的攻击手段多样，涵盖间谍活动和勒索软件部署。当前的攻击波显示出其在获取敏感数据后，可能转向勒索软件操作的长期访问策略。RomCom恶意软件通过更新的感染链进行部署，UAT-5647显著升级了其工具，使用了四种不同的恶意软件家族，包括RustClaw、MeltingClaw以及两个后门DustyHammock和ShadyHammock。

RomCom恶意软件通过ShadyHammock后门直接从Windows注册表加载和执行有效载荷，这种隐蔽的交付机制使得检测变得困难。该攻击活动特别针对政府机构和基础设施，恶意软件会根据系统的语言设置（波兰语、乌克兰语或俄语）进行验证，显示出其战略性和地缘政治利益。

UAT-5647的感染链通常始于鱼叉式钓鱼攻击，使用RustClaw或MeltingClaw下载器建立持久性，然后部署后门进行网络侦察和数据外泄。该组织擅长使用合法工具如PuTTY的Plink建立远程隧道，绕过标准安全措施。随着UAT-5647不断演变其恶意软件和攻击技术，乌克兰、波兰及其他风险地区的组织必须保持警惕，优先采取主动检测和快速响应措施。