自从俄罗斯对乌克兰的全面入侵以来，沙虫（Sandworm）APT组（也称为APT44）便加大了对该国的网络攻击力度。这一为俄罗斯GRU（总参谋部军事情报局）所支持的威胁行为体在其最新的网络间谍活动中，利用盗版的Microsoft Key Management Service（KMS）激活工具对乌克兰的Windows用户展开了攻击。此项活动自2023年末就已潜伏至今。

沙虫APT组在其攻击中通过伪装成合法软件的盗版KMS激活器及虚假的Windows更新来分发恶意软件，从而获取敏感数据并执行网络间谍活动。这种手法显示了乌克兰在软件授权合规性方面的脆弱性，给数字基础设施带来了前所未有的风险。

这些攻击始于一款被称为“KMSAuto++x64_v1.8.4.zip”的伪造激活工具，攻击者将其上传至Torrent等文件共享平台。用户为绕过Windows的授权限制而寻找合法的激活工具，结果却落入了攻击者设置的陷阱中。一旦用户执行了这个伪造的激活工具，伪装界面立刻出现，但实际上后台正悄然运行着恶意软件加载器——BACKORDER。这一加载器的作用是禁用Windows Defender，使系统为最终的远程访问木马（RAT）Dark Crystal RAT（DcRAT）铺平道路。DcRAT具备强大的数据显示与网络控制能力。

为了有效规避检测，BACKORDER加大了使用“Living Off the Land Binaries” （LOLBIN）的比例，这是一种利用系统自带工具的方式来进行恶意操作。例如，攻击者会通过PowerShell命令来禁用Windows Defender，并在用户不知情的情况下为其上传恶意软件。

通过这一攻击链，DcRAT能够与C2（指挥与控制）服务器建立持久连接，将收集到的个人信息及敏感数据如屏幕截图、键盘记录、浏览器凭据、FTP登录信息等不断回传给攻击者。为确保在系统重启后仍能保持权限，DcRAT会创建定期任务，这意味着即使用户重启计算机，恶意代码依旧能够被不断执行，构成长期的安全隐患。

大多数受害用户在安装过程中都未意识到这一系列伪装与欺诈的行为，其造成的后果显而易见。乌克兰国有部门、关键基础设施甚至一些私营企业都在此次攻击的目标之列。根据一项调查，乌克兰大约70%的软件使用情况均属于未经授权，且这种趋势在战事和经济压力的加剧下愈演愈烈。这使得恶意软件得以大面积传播，直接影响乌克兰的国家安全、关键基础设施和私人部门的韧性。

沙虫APT组的攻击方式在近年来愈发复杂且精细。他们不仅仅是为了盗取信息，还包括对整个网络基础设施的破坏。这种战略上的网络攻击与俄罗斯的整体混合战争策略密切相关，其目的是通过网络行为来削弱乌克兰的控制力和抵抗能力。

为了有效抵御此类网络攻击，乌克兰及其盟友需要加强对网络安全的重视。在基础设施和关键系统中，务必要对外部软件下载和安装保持高度警惕，并且应当鼓励员工和用户避免下载来自不可信来源的软件。此外，企业还需要定期更新系统补丁，确保使用经过正式渠道验证的软件。此外，针对员工进行有关盗版软件及其潜在风险的教育，提升他们的安全意识，以降低被攻击的可能性。

面对不断演变的网络安全威胁，保持意识的敏锐与技术的更新是非常重要的。任何组织都应当主动防御，确保其网络防护措施的有效性和全面性。唯有认真落实这些安全建议，才能构建起更为牢固的网络防线，减少网络攻击造成的影响。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课