网络安全研究人员 Cyble Research and Intelligence Labs（CRIL）发现了一起复杂的恶意软件攻击活动，攻击者使用伪装成军事训练文档的武器化 ZIP 压缩包，入侵了白俄罗斯特种作战司令部无人机操作人员的系统。

2025年10月发布的报告显示，攻击者采用了高级反分析方法、Tor隐藏通信基础设施以及Windows版OpenSSH，在被入侵主机上建立了持久且匿名的远程访问通道。

CRIL表示："此次攻击使用了针对白俄罗斯特种作战司令部无人机操作人员的诱饵文档，表明这是一次针对地区军事能力的情报收集行动。"

感染始于一个名为"ТЛГ на убытие на переподготовку.pdf"（"TLG离职再培训通知"）的ZIP压缩包，该文件看似是白俄罗斯军方正式文档。实际上，攻击者使用了双重扩展名技术（一种常见的欺骗手段），使文件看似PDF文档，实则是一个恶意的Windows LNK快捷方式。

执行后，LNK文件会触发混淆处理的PowerShell命令，提取包含额外载荷和配置文件的隐藏压缩包。CRIL解释道："这种多阶段攻击采用了高级规避技术，包括双重文件扩展名、反沙箱检查和混淆PowerShell执行，以在目标系统上建立持久后门访问。"

PowerShell脚本在继续执行前会验证系统条件，检查系统是否至少有10个快捷方式文件和50个以上运行进程。这些检查确保恶意软件仅在真实工作站上执行，在沙箱或虚拟分析环境中会自动终止。

恶意载荷在后台运行时，受害者会看到一个诱饵PDF文档以维持可信度。该文档包含军事再培训和无人机飞行程序说明，与此次行动聚焦无人机作战的主题相符。

CRIL报告称："诱饵PDF揭示了针对白俄罗斯军事部门的特定攻击策略。文档的潜在目标很可能是白俄罗斯空军特种作战司令部中具备无人机操作专业知识的人员。"

诱饵文档打开后，恶意软件会创建一个计划任务确保持久性，在系统登录时和每天UTC时间10:21执行。随后会启动两个独立任务：

任务1 - OpenSSH部署

恶意软件启动一个微软签名的OpenSSH二进制文件（githubdesktop.exe），配置为监听20321端口（本地主机）。该配置仅允许基于RSA密钥的身份验证，阻止密码访问并限制使用压缩包内预生成的密钥登录。

CRIL确认："尽管文件名githubdesktop.exe看似合法软件，但它实际上是微软数字签名的Windows版OpenSSH二进制文件，用于规避安全检测。"

通过此SSH配置，攻击者可执行远程命令，通过SFTP上传下载文件，并通过SMB探索网络共享，同时保持隐蔽性。

任务2 - 采用Obfs4桥接的Tor网络

恶意软件部署了一个定制版Tor可执行文件（pinterest.exe），创建隐藏服务（.onion地址）将所有通信路由至Tor网络。通过此匿名通道暴露多项服务：

• 20322端口 → SSH
• 11435端口 → SMB
• 13893端口 → RDP
• 12192/14763端口 → 自定义后门

相比早期攻击活动，此次改进的关键是加入了obfs4可插拔传输，将Tor流量伪装成常规网络活动。

CRIL指出："高级可插拔传输的实施有效隐藏了Tor流量，使其看似正常网络活动，大大增加了检测难度。"

后门激活后，恶意软件会构建一个唯一的.onion URL标识每台被入侵主机，并通过本地Tor SOCKS5代理路由的curl命令将此信息发送给攻击者。

传输数据包括受害者用户名、生成的Tor隐藏服务地址和行动标识符。

CRIL详细说明："curl命令配置了激进的重试逻辑——1000次尝试，每次间隔3秒——确保即使在不利网络条件下也能可靠传输。"

成功注册后，攻击者获得全面远程控制能力，可通过SSH、RDP、SMB或SFTP访问受害者系统。

Cyble分析师发现，此次2025年10月的样本与2024年12月归因于Sandworm（APT44/UAC-0125）的"Army+"攻击活动存在高度相似性。Sandworm是一个臭名昭著的俄罗斯国家支持的黑客组织，与GRU第74455部队有关联。

报告称："CRIL以中等置信度评估，此次2025年10月的样本与2024年12月归因于UAC-0125/Sandworm（APT44）的Army+攻击活动存在相似性。"

Sandworm曾参与多起重大攻击行动，包括2015年BlackEnergy电网攻击、2017年NotPetya攻击和2023年Kyivstar电信入侵。

此次攻击活动显示出Sandworm战术的技术改进：

• 使用obfs4桥接提高匿名性
• 预生成RSA密钥加快部署速度并减少取证痕迹
• 通过计划任务实现自动化持久性

CRIL补充道："这些更新表明该威胁组织具有适应能力，并致力于提升行动安全性以应对不断发展的检测能力。"

尽管在测试期间未观察到二次载荷，但Cyble团队成功通过SSH连接到恶意软件的测试实例验证了其后门功能。这表明该行动可能处于侦察或预利用阶段。

研究人员解释："我们通过建立受控SSH连接测试了后门功能...连接通过Tor匿名通道提供了完整的命令行访问，证实了后门的操作功能。"

鉴于军事主题的诱饵和地区针对性，Cyble评估认为此次行动是针对东欧国防部门的持续间谍活动的一部分，可能旨在收集无人机和通信情报。

参考来源：

Sandworm APT Attacks Belarus Military With LNK Exploit and OpenSSH Over Tor obfs4 Backdoor