亲俄黑客冒充乌克兰网络机构，瞄准政府及企业

乌克兰网络安全官员称，一个亲俄黑客组织在一场网络钓鱼活动中，冒充乌克兰国家网络事件应急响应团队，将政府机构、企业及其他组织作为攻击目标。

乌克兰计算机应急响应小组（CERT-UA）的研究人员周日表示，被追踪为 UAC – 0255 的攻击者上周发送电子邮件，伪装成该机构。邮件警告收件人，俄罗斯据称正在准备针对乌克兰关键基础设施发动一场 “大规模网络攻击”。

这些邮件敦促收件人从文件共享服务 Files.fm 下载一个受密码保护的压缩文件，并安装所谓用于保护易受攻击系统的专业安全软件。黑客警告称，忽视该信息可能导致 “严重后果”。

该文件包含一款名为 AgeWheeze 的远程管理工具，攻击者可借此远程控制受感染的计算机。据 CERT-UA 称，该恶意软件具备多种功能，包括执行命令、管理文件和进程、传输屏幕内容、模拟鼠标和键盘输入以及访问剪贴板。

这些网络钓鱼邮件的目标涉及多个行业的组织，包括政府机构、医疗中心、金融公司、安保企业、大学和软件开发公司。

CERT-UA 表示，此次攻击活动大多未成功，仅造成少量感染，主要出现在教育机构员工的个人设备上。

该机构称，此次行动可能与 CyberSerp 黑客组织有关，该组织随后在其 Telegram 频道上宣称对此次攻击负责。CERT-UA 表示，他们在此次活动中使用的一个虚假网站代码中发现了 “来自 Cyber Serp 的爱” 这句话。

在 Telegram 的帖子中，该组织声称已向乌克兰广泛使用的电子邮件服务Ukr.net的约 100 万用户发送恶意邮件，并入侵了超 20 万台设备。CERT-UA 并未证实这些数据。

黑客还称赞了 CERT-UA 的调查，并感谢该机构为他们的 Telegram 频道进行 “宣传”。

新兴威胁行为者

CyberSerp 是一个相对较新的以乌克兰为目标的威胁行为者。其 Telegram 频道于 2025 年 11 月创建，该组织在频道中自称是一个 “网络游击队运动”，并声称来自乌克兰。

该组织此前曾试图在乌克兰招募合作者，承诺为 “有价值的信息” 支付报酬。

CyberSerp 还宣称对乌克兰网络安全公司 Cipher 的另一起所谓入侵事件负责，称其获取了该公司服务器的完整数据转储，包括内部通信记录以及据称包含政府机构的客户数据库。

Cipher 承认攻击者获取了其一家承包商一名员工的凭证，但表示公司核心基础设施未遭入侵。据该公司称，被入侵的账户仅能访问一个不包含敏感安全信息或个人数据的单一项目。