新兴黑客组织 Punishing Owl 瞄准俄罗斯政府安全机构网络

HackerNews 编译，转载请注明出处：

一个此前未知、名为Punishing Owl的黑客组织近期浮出水面，正对俄罗斯政府安全机构发起技术复杂的网络攻击。

该组织于 2025 年 12 月 12 日首次公开活动，当日宣布已成功入侵俄罗斯某政府安全机构的网络。

攻击者将窃取的内部文件发布至数据泄露平台，并在 Mega.nz 存储仓库中备份相关文件，以此实现网络入侵事件曝光度最大化的目的。

该组织采用多种攻击手段，扩大此次行动的影响力。在取得受害者 DNS 配置的控制权后，Punishing Owl 创建了一个子域名并修改了 DNS 记录，将相关流量劫持至一台位于巴西的服务器。

该服务器不仅托管了窃取的文件，还附带了一份阐述其攻击动机的政治声明。

攻击者特意选择周五晚 6 点 37 分宣布入侵事件，该时间点经精心测算，可拖延受害者响应进度，同时让自身攻击行动获得最大曝光度。

在完成初步入侵后，该组织进一步对受害机构的合作伙伴与承包商发起了商业电子邮件欺诈（BEC）攻击。

据 Habr 分析师调查发现，Punishing Owl 利用位于巴西的服务器，并使用在受害者邮件域名下伪造的发件地址发送了钓鱼邮件。

这些钓鱼邮件谎称是对网络入侵事件的核实通知，并附带紧急要求，催促收件人查看附件文档。

尽管是新近出现的组织，但其攻击基础设施展现出相当的技术水准。Punishing Owl 配置了伪造的 TLS 证书，搭建了用于邮件收发的 IMAP 和 SMTP 服务，并部署了名为 ZipWhisper 的 PowerShell 窃密木马，用以从受感染系统中盗取浏览器凭证。

恶意邮件中包含带密码保护的 ZIP 压缩包，包内藏有伪装的 LNK 快捷方式文件，该文件会执行 PowerShell 命令，从 bloggoversikten [.] com 域名下的命令与控制服务器下载窃取器。

感染机制与凭证窃取过程
ZipWhisper 窃取器通过多阶段感染流程运作，核心目标是从受入侵主机中提取敏感浏览器数据。

当受害者打开伪装的 LNK 文件时，它会静默执行 PowerShell 命令，从攻击者架设的服务器下载窃密木马的有效载荷。

随后该恶意软件会收集存储浏览器凭证、Cookie 及保存密码的相关文件，将其打包为 ZIP 压缩包，压缩包命名遵循特定规则，包含受害者用户名及文件分块编号。

这些压缩包会先临时存储在系统 AppData/Local/Temp 目录下，再通过自定义端点结构上传至命令与控制服务器。

对窃取器代码的分析显示，代码注释表明其部分恶意脚本可能由 AI 工具生成，这意味着该组织或在借助现代开发技术，加速针对俄罗斯关键基础设施目标的攻击行动推进。

消息来源:cybersecuritynews：

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文