谷歌将疑似俄罗斯行为者与针对乌克兰组织的CANFAIL恶意软件攻击联系起来

谷歌威胁情报小组（GTIG）将一个先前未被记录的网络威胁行为者与针对乌克兰组织的攻击联系起来，该组织使用的恶意软件被称为CANFAIL。
GTIG将这个黑客组织描述为可能与俄罗斯情报部门有关联。据评估，该威胁行为者针对乌克兰地区和国家政府内的国防、军事、政府和能源组织。然而，GTIG补充说，该组织还对航空航天组织、与军事和无人机有联系的制造公司、核和化学研究组织，以及参与乌克兰冲突监测和人道主义援助的国际组织表现出日益增长的兴趣。
"尽管与其他俄罗斯威胁组织相比，这个行为者的技术水平和资源都较低，但该行为者最近开始利用大型语言模型（LLM）克服一些技术限制，"GTIG表示。"通过提示，他们进行侦察、创建社会工程诱饵、研究公开漏洞，并帮助脚本和开发。"
CANFAIL恶意软件是一种后门程序，允许攻击者远程控制受感染的系统。它使用多种技术来逃避检测，包括代码混淆、加密通信和反分析技术。该恶意软件通过钓鱼邮件传播，通常使用与乌克兰当前事件相关的诱饵文档。
GTIG的分析显示，这个威胁行为者在2025年下半年开始活跃，攻击频率逐渐增加。攻击者显示出对乌克兰关键基础设施的持续兴趣，特别是能源和国防部门。
谷歌的研究人员注意到，该组织使用LLM的方式代表了网络威胁演变的一个新阶段。攻击者使用AI工具来：

生成 convincing 的钓鱼邮件内容

研究目标的公开信息以创建定制诱饵

查找和利用公开披露的漏洞

协助编写和调试恶意代码
这种AI辅助的攻击方法降低了技术门槛，使资源较少的威胁行为者能够发动更复杂的攻击。GTIG建议乌克兰和相关地区的组织加强电子邮件安全、实施多因素认证，并监控网络中的异常活动。