特洛伊化的ESET安装程序在针对乌克兰的钓鱼攻击中植入Kalambur后门

一个新的网络威胁群体出现，冒充斯洛伐克网络安全公司ESET，针对乌克兰组织进行钓鱼攻击。该活动于2025年5月被ESET检测到，代号InedibleOchotense，据信与俄罗斯利益相关。攻击者向乌克兰各地目标发送包含篡改过的ESET安装程序链接的鱼叉式钓鱼邮件和Signal消息。尽管这些通信大多用乌克兰语书写，但第一行奇怪地包含了一个俄语单词，暗示可能是翻译失误或消息制作时的疏忽。\n\n钓鱼邮件虚假声称ESET监控团队检测到与收件人邮箱相关的可疑进程，警告其系统可能被攻破。此策略利用了ESET在乌克兰的强大声誉和广泛使用，诱使受害者从模仿合法ESET服务的域名如esetsmart[.]com和esetremover[.]com下载恶意软件。被篡改的安装程序不仅包含真实的ESET AV Remover工具，还安装了名为Kalambur（又称SUMBUR）的后门。该后门通过Tor网络通信以保持匿名，并能部署OpenSSH及激活3389端口的远程桌面访问，实现对感染机器的远程控制。\n\n进一步调查将此活动与先前记录的行动联系起来，如涉及BACKORDER后门和CERT-UA监控的UAC-0212及UAC-0125群组，这些均为臭名昭著的Sandworm（APT44）黑客组织的子团体。Sandworm持续在乌克兰发动破坏性网络攻击，如2025年4月针对某大学部署的ZEROLOT和Sting擦除型恶意软件。这些攻击波及政府、能源、物流和粮食等多个行业。ESET还指出，UAC-0099为Sandworm提供了初始访问，凸显了这些威胁行为者的层级协作特征。\n\n除Sandworm外，另一个与俄罗斯相关的团体RomCom（亦有多个别名）于2025年7月中旬开展鱼叉式钓鱼活动。RomCom利用WinRAR中的高危零日漏洞（CVE-2025-8088），针对欧洲和加拿大的金融、制造、防务及物流企业。成功利用后安装了多个后门和远程访问工具，如SnipBot、RustyClaw及Mythic代理。分析师指出，RomCom最初作为网络犯罪商品恶意软件存在，现已演变为俄罗斯国家支持行动的工具，专注于与乌克兰冲突相关的地缘政治事件中的数据窃取和凭证收集。\n\n这些活动的日益复杂和持续性凸显了乌克兰冲突中的网络战争维度。攻击者利用品牌冒充、零日漏洞和多阶段恶意软件部署渗透关键系统。防御策略面临挑战，因为攻击中同时使用了合法工具和恶意组件，并利用了如ESET等受信任软件品牌。不断演变的威胁形势要求提高警惕、增强检测能力，并在网络安全社区及受影响行业间协调响应，以减轻持续风险。