FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

乌克兰国家特殊通信与信息保护局（SSSCIP）表示，2025年上半年（H1 2025），俄罗斯黑客在对乌网络攻击中使用人工智能（AI）的技术已达到新高度。该机构在周三发布的报告中指出："黑客不仅利用AI生成钓鱼信息，我们分析的某些恶意软件样本还显示出明显的AI生成痕迹——攻击者显然不会止步于此。"

攻击态势升级

数据显示，2025年上半年共记录3018起网络攻击事件，较2024年下半年（H2 2024）的2575起有所上升。其中针对地方政府和军事实体的攻击有所增加，而针对政府和能源部门的攻击则有所减少。

值得关注的攻击事件包括UAC-0219组织使用名为WRECKSTEEL的恶意软件攻击乌克兰国家行政机关和关键基础设施。有证据表明，这款基于PowerShell的数据窃取恶意软件是通过AI工具开发的。

主要攻击活动盘点

• UAC-0218组织：针对国防部队发起钓鱼攻击，通过陷阱RAR压缩包分发HOMESTEEL恶意软件
• UAC-0226组织：针对国防工业创新研发机构、地方政府、军事单位和执法部门实施钓鱼攻击，分发名为GIFTEDCROOK的信息窃取程序
• UAC-0227组织：采用ClickFix式战术或SVG文件附件，向地方政府、关键基础设施及兵役与社会支持中心分发Amatera Stealer和Strela Stealer等窃密程序
• UAC-0125子集群（与Sandworm有关联）：发送伪装成ESET安全公司的钓鱼邮件，通过所谓"威胁清除程序"分发名为Kalambur（又称SUMBUR）的C#后门程序

零点击漏洞利用

SSSCIP还发现与俄罗斯有关的APT28（又称UAC-0001）组织正在利用Roundcube（CVE-2023-43770、CVE-2024-37383和CVE-2025-49113）及Zimbra（CVE-2024-27443和CVE-2025-27915）邮件系统的跨站脚本漏洞实施零点击攻击。该机构表示："攻击者利用这些漏洞注入恶意代码，通过Roundcube或Zimbra的API获取凭证、联系人列表，并配置过滤器将所有邮件转发至攻击者控制的邮箱。"

另一种凭证窃取方法是通过创建隐藏HTML区块（visibility: hidden），其中包含设置autocomplete='on'属性的登录凭证输入框，从而自动填充浏览器保存的凭证数据并实施窃取。

混合战争策略

报告披露俄罗斯持续实施混合战争，将网络攻击与实体战场行动相配合。其中Sandworm（UAC-0002）组织主要针对能源、国防、互联网服务提供商和研究机构。

此外，多个针对乌克兰的威胁组织正滥用Dropbox、Google Drive、OneDrive、Bitbucket、Cloudflare Workers、Telegram等合法服务托管恶意软件或钓鱼页面，甚至将其转变为数据外泄通道。SSSCIP指出："滥用合法网络资源并非新战术，但近期俄罗斯黑客利用的此类平台数量正在持续增加。"

参考来源：

From Phishing to Malware: AI Becomes Russia's New Cyber Weapon in War on Ukraine

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）