乌克兰计算机应急响应小组（CERT-UA）披露了2025年10月至12月期间针对其国防部队、使用名为PLUGGYAPE恶意软件的新网络攻击细节。

该活动被中等置信度归因于一个被追踪为Void Blizzard（又名Laundry Bear或UAC-0190）的俄罗斯黑客组织。据信该威胁行为者至少自2024年4月以来一直活跃。

这些压缩包包含一个用PyInstaller创建的可执行文件，最终导致PLUGGYAPE的部署。CERT-UA表示，该后门程序的连续迭代增加了混淆和反分析检查，以防止其在虚拟环境中执行。

PLUGGYAPE使用Python编写，通过WebSocket或消息队列遥测传输（MQTT）与远程服务器建立通信，使操作者能够在受感染主机上执行任意代码。对MQTT协议通信的支持于2025年12月添加。

此外，命令与控制（C2）地址是从外部粘贴服务（如rentry[.]co和pastebin[.]com）获取的，这些地址以base64编码形式存储，而不是直接硬编码在恶意软件本身中。这使攻击者能够保持操作安全性和弹性，允许他们在原始基础设施被检测并拆除的情况下实时更新C2服务器。

CERT-UA表示：“与网络攻击目标的初始互动越来越多地使用乌克兰移动运营商的合法账户和电话号码，使用乌克兰语进行音频和视频通信，攻击者可能展示对个人、组织及其运营的详细且相关的了解。”

“在移动设备和个人电脑上广泛使用的即时通讯工具，实际上正成为传递网络威胁软件工具的最常见渠道。”

近几个月来，该网络安全机构还透露，一个被追踪为UAC-0239的威胁集群从UKR[.]net和Gmail地址发送钓鱼邮件，其中包含指向VHD文件的链接（或直接作为附件），这为名为FILEMESS的基于Go语言的窃取程序铺平了道路，该程序收集匹配特定扩展名的文件并将其外泄至Telegram。

同时投放的还有一个名为OrcaC2的开源C2框架，可实现系统操纵、文件传输、键盘记录和远程命令执行。据称该活动针对乌克兰国防部队和地方政府。

乌克兰的教育机构和政府当局也遭受了另一场由UAC-0241策划的鱼叉式网络钓鱼活动，该活动利用包含Windows快捷方式（LNK）文件的ZIP压缩包，打开该文件会触发使用“mshta.exe”执行HTML应用程序（HTA）。

觉得这篇文章有趣吗？请关注我们的Google News、Twitter和LinkedIn，阅读我们发布的更多独家内容。

网络安全研究人员披露了一种先前未记录且功能丰富的恶意软件框架的详细信息，该框架代号为VoidLink，专门设计用于长期、隐蔽地访问基于Linux的云环境。

根据Check Point Research的一份新报告，这款云原生Linux恶意软件框架包含一系列自定义加载器、植入程序、rootkit和模块化插件，使其操作者能够随时间推移增强或改变其功能，并在目标变更时灵活调整。它于2025年12月首次被发现。

"该框架包含多项专注于云的功能和模块，并设计为能在云和容器环境中长期可靠运行，"这家网络安全公司在今天发布的分析报告中表示。"VoidLink的架构极其灵活且高度模块化，围绕一个自定义插件API构建，该API似乎受到Cobalt Strike的Beacon对象文件（BOF）方法的启发。默认提供的30多个插件模块都使用了此API。"

这些发现反映了威胁行为者的焦点从Windows系统转向了已成为云服务和关键操作基石的Linux系统。VoidLink被评估为中国关联威胁行为者的作品，目前处于积极维护和演进中。

该工具包是一个用Zig编程语言编写的云优先植入程序，能够检测主要的云环境，即亚马逊网络服务（AWS）、谷歌云、微软Azure、阿里巴巴和腾讯云，并在识别到自身运行于Docker容器或Kubernetes Pod内时调整其行为。它还能收集与云环境以及Git等流行源代码版本控制系统相关的凭据。

VoidLink高级概述

针对这些服务的攻击表明，VoidLink很可能被设计用于针对软件开发人员，意图窃取敏感数据或利用访问权限进行供应链攻击。

其部分其他能力列举如下：

• 使用LD_PRELOAD、可加载内核模块（LKM）和eBPF的类rootkit功能，根据Linux内核版本隐藏其进程
• 用于扩展功能的内存中插件系统
• 支持多种命令与控制（C2）通道，如HTTP/HTTPS、WebSocket、ICMP和DNS隧道
• 在被入侵主机之间形成点对点（P2P）或网状网络

一个基于中文的Web仪表板允许攻击者远程控制植入程序、动态创建定制版本、管理文件、任务和插件，并执行攻击周期的不同阶段——从侦察和持久化到横向移动和通过擦除恶意活动痕迹进行防御规避。

用于创建VoidLink定制版本的构建器面板

VoidLink支持37个插件，涵盖反取证、侦察、容器、权限提升、横向移动等类别，使其成为一个功能全面的后渗透利用框架：

• 反取证：根据关键字擦除或编辑日志和Shell历史记录，并对文件进行时间戳篡改以阻碍分析
• 云：促进Kubernetes和Docker的发现与权限提升、容器逃逸以及错误配置探测
• 凭据窃取：收集凭据和密钥，包括SSH密钥、git凭据、本地密码材料、浏览器凭据和Cookie、令牌以及API密钥
• 横向移动：使用基于SSH的蠕虫进行横向传播
• 持久化：通过滥用动态链接器、cron作业和系统服务帮助建立持久化
• 侦察：收集详细的系统和环境信息

Check Point将其描述为"令人印象深刻"且"远比典型的Linux恶意软件先进"，并表示VoidLink具有一个处理C2通信和任务执行的核心编排器组件。

它还包含大量反分析功能以规避检测。除了标记各种调试器和监控工具外，如果检测到任何篡改迹象，它还能自我删除。它还具备自修改代码选项，可以在运行时解密受保护的代码区域，并在不使用时将其加密，从而绕过运行时内存扫描器。

此外，该恶意软件框架会枚举受感染主机上安装的安全产品和加固措施，以计算风险评分并制定全面的规避策略。例如，这可能涉及在高风险环境中减慢端口扫描速度并进行更严格的控制。

"开发者展现了高水平的技术专长，精通多种编程语言，包括Go、Zig、C以及React等现代框架，"Check Point指出。"此外，攻击者拥有对复杂操作系统内部原理的深入了解，使其能够开发先进且复杂的解决方案。"

"VoidLink旨在尽可能实现规避自动化，对环境进行分析并选择最合适的策略在其中运行。借助内核模式技术和庞大的插件生态系统，VoidLink使其操作者能够以自适应的隐蔽方式在云环境和容器生态系统中活动。"

觉得这篇文章有趣吗？请关注我们的Google新闻、Twitter和LinkedIn，阅读我们发布的更多独家内容。