俄罗斯UAC-0050组织利用RMS恶意软件扩大欧洲金融业网络间谍活动

俄罗斯支持的UAC-0050组织瞄准欧洲金融业

近期，一个与俄罗斯有关联的威胁组织UAC-0050被发现针对欧洲金融机构发起社交工程攻击，其目标可能是情报收集或金融窃取。此次攻击行动标志着该组织可能将其活动范围从乌克兰扩展至更广泛的欧洲目标，特别是那些支持乌克兰的实体。

攻击行动关键细节

• 威胁组织：UAC-0050（俄罗斯支持）
• 攻击目标：未具名欧洲金融机构
• 攻击手法：伪造域名（Spoofed Domain）及RMS（Remote Manipulator System）恶意软件
• 攻击目的：可能为网络间谍活动或金融数据窃取
• 地缘政治背景：从乌克兰目标转向更广泛的欧洲金融机构

技术分析

UAC-0050此前以针对乌克兰实体闻名，此次攻击中，该组织利用了RMS恶意软件——一种被滥用的合法远程管理工具。攻击者通过伪造域名诱骗受害者执行恶意软件，从而获得对受感染系统的持久访问权限。

虽然具体的感染途径尚未公开，但攻击者可能采用了社交工程手段（如钓鱼邮件或欺诈网站）来传播恶意载荷。RMS恶意软件具备以下功能：

• 远程控制受感染系统
• 数据窃取能力
• 持久化机制，规避检测

影响与战略意义

UAC-0050此次针对欧洲金融机构的攻击表明，该组织正在扩大其行动范围，可能是对地缘政治局势变化的回应。金融机构一直是高价值攻击目标，原因包括：

• 情报收集（如交易监控）
• 直接金融窃取（如欺诈性转账）
• 供应链破坏（如针对支付系统）

防御建议

金融机构的安全团队应采取以下措施：

1. 监控伪造域名，特别是与合法服务相似的域名。
2. 限制RMS及类似远程管理工具的使用，除非业务明确需要。
3. 加强反钓鱼培训，降低社交工程攻击风险。
4. 部署EDR/XDR解决方案，检测异常远程访问行为。
5. 开展威胁狩猎，查找与UAC-0050相关的入侵指标（IoCs）。

此次攻击行动凸显了不断演变的威胁格局，金融动机与国家支持的威胁组织在攻击关键基础设施时日益重叠。