UAC-0184 恶意软件链利用 bitsadmin 和 HTA 文件进行受控有效载荷交付

最新记录的攻击链与威胁组织 UAC-0184 有关，该攻击链利用 Windows 内置的 bitsadmin 工具和 HTA 文件将恶意有效载荷偷偷植入目标系统。该行动主要针对乌克兰，有明确迹象表明其目标与军事有关，包括与乌克兰国防军有关联的个人。

攻击者利用围绕刑事诉讼、战斗视频和个人联系请求等主题构建的社会工程诱饵，诱骗受害者打开恶意文件。一旦受害者打开了被植入陷阱的文档，无论它是 PDF 文件、Word 文件还是 Excel 电子表格，bitsadmin 都会在后台悄悄地从攻击者控制的远程服务器获取 HTA 文件。

然后使用 mshta.exe 执行该 HTA 文件，从而推进感染进程，而不会在受感染的计算机上立即发出任何警报。

Synaptic Security 分析师在一份报告中表示，该交付机制似乎是受控的，有效载荷只会提供给通过某些过滤标准的系统，这可能有助于筛选掉沙箱和安全研究人员环境。

这种有条件的投放方式使得恶意软件更难被研究，并允许攻击者在很长一段时间内保持活跃而不引起不必要的关注。

HTA 文件一旦执行，就会运行一个隐藏的 PowerShell 命令，从攻击者控制的服务器（IP 地址为 169.40.135.35）下载名为 dctrprraclus.zip 的 ZIP 存档。

UAC-0184 恶意软件攻击链

该存档解压到AppData 目录下的一个文件夹中，并启动两个文件：一个名为 Cluster-Overlay64.exe 的音乐可视化应用程序，以及一个名为 Scan_001.pdf 的诱饵 PDF 文件。

该 PDF 文件会显示给受害者，以此分散他们的注意力，而真正的感染则会在后台悄无声息地进行，不被察觉。

UAC-0184 部署的更广泛的工具集表明其操作相当复杂。感染链的最后阶段涉及将 PassMark BurnInTest 网络组件重新用作隐蔽的C2通道，监听 UDP 端口 31339 上的组播对等体发现流量。

这种对合法的、经微软签名的软件栈的滥用，使攻击者能够在受信任的进程树深处获得令人信服的掩护身份。

使用 bitsadmin 下载文件并不是什么新鲜事，但将其与 HTA 文件执行相结合是一种蓄意的技术，可以帮助攻击者融入正常的 Windows 后台活动中。

Bitsadmin 是一个 Windows 原生命令行工具，最初是为后台文件传输而构建的，但其被攻击者滥用的情况往往不会被普通用户和许多终端安全产品注意到。

HTA 文件执行后，会在 ApplicationData32 文件夹中释放一个包含 Cluster-Overlay64.exe、openvr_api.dll、filter.bin 和 kernel-diag.lib 的分层软件包。实际的恶意代码并不位于主可执行文件中。

相反，它被隐藏在 DLL 文件和编码的本地数据块中，在运行时通过结合 XOR 操作和 LZNT1 解压缩的多阶段过程进行解密。

最终有效载荷被侧载到 VSLauncher.exe 中，这是一个合法的、经过 Microsoft 签名的 Visual Studio 二进制文件，它将其包装在一个可信的数字身份中。

此次攻击活动最引人注目的一点是，攻击者如何积极利用合法的、经过签名的软件来掩盖其恶意行为，从而躲避防御者的攻击。

PassMark Endpoint 是一款商业网络测试实用程序，它成为最终面向网络的组件，具备通过 MiniDumpWriteDump 进行进程内存转储以及通过 TCP 端口 31339 进行对等数据传输等功能。

建议防御者监控bitsadmin 和 mshta.exe 是否同时使用，尤其是在与可疑的临时文件名模式（如 ~tmp(…).hta）搭配使用时。

网络团队应注意发往 224.0.0.255 的 31339 端口的 UDP 流量，这是 PassMark 多播发现地址，该活动将其重新用于自身的通信。

如果 VSLauncher.exe 在合法的 Visual Studio 安装路径之外运行，或者在 %APPDATA%\ApplicationData32 中发生任何意外的文件创建事件，都应视为严重的警告信号，需要安全团队立即进行调查。

技术报告：

《UAC-0184：从 HTA 到签名网络协议栈》

https://blog.synapticsystems.de/uac-0184-from-hta-to-a-signed-network-stack/

新闻链接：

https://cybersecuritynews.com/uac-0184-malware-chain-uses-bitsadmin/

1. UAC-0184 恶意软件链利用 bitsadmin 和 HTA 文件进行受控有效载荷交付

最新记录的攻击链与威胁组织 UAC-0184 有关，该攻击链利用 Windows 内置的 bitsadmin 工具和 HTA 文件将恶意有效载荷偷偷植入目标系统。该行动主要针对乌克兰，有明确迹象表明其目标与军事有关，包括与乌克兰国防军有关联的个人。

🔗https://cybersecuritynews.com/uac-0184-malware-chain-uses-bitsadmin/

2. Kimsuky黑客利用LNK和JSE诱饵攻击招聘人员、加密货币用户和国防官员

曹县黑客组织Kimsuky再次行动，于2026年上半年发起四个独立的定向钓鱼攻击活动，针对企业招聘人员、加密货币投资者和开发者、国防部门官员以及研究生院管理人员。

🔗https://cybersecuritynews.com/kimsuky-hackers-use-lnk-and-jse-lures-to-target-recruiters/

3. 恶意软件活动利用 JavaScript、PowerShell 和 Shellcode 传播加密货币盗窃程序

研究人员发现一个围绕名为 CountLoader 的多阶段加载器构建的大规模攻击活动，该加载器将 JavaScript、PowerShell 和 shellcode 连接在一起，以传递拦截和重定向加密货币交易的有效载荷。

🔗https://cybersecuritynews.com/malware-campaign-deliver-crypto-clipper/

4. 攻击者利用 Cloudflare 存储端点从受感染的网络中窃取文件

安全研究人员发现了一起有针对性的入侵活动，该活动利用 Cloudflare 托管的存储端点从被入侵的系统中提取被盗文件，而不会发出警报。此次行动的目标是多个马来西亚政府机构和至少一家私营企业。

🔗https://cybersecuritynews.com/attackers-use-cloudflare-storage-endpoint/

1. 热门 GitHub Action 标签重定向到冒名顶替提交以窃取 CI/CD 凭证

威胁组织入侵流行的 GitHub Actions 工作流 actions-cool/issues-helper，以运行恶意代码，收集敏感凭据并将其泄露到攻击者控制的服务器。

🔗https://thehackernews.com/2026/05/github-actions-supply-chain-attack.html

2. 黑客入侵@antv软件包，发起小型Shai-Hulud npm攻击浪潮

一场大规模的供应链攻击影响了npm生态系统，数百个与@antv数据可视化库相关的广泛使用的JavaScript包遭到破坏。这次攻击发生在2026年5月19日凌晨，恶意代码被注入到全球数百万开发人员使用的包中。

🔗https://cybersecuritynews.com/hackers-compromise-antv-packages/

3. 勒索软件“The Gentlemen”攻击 Windows、Linux、NAS、BSD 和 ESXi系统

一个名为“The Gentlemen”的勒索软件团伙近年来一直在悄然打造最激进的网络犯罪活动之一。该团伙在2025年下半年公开露面，迅速扩大其活动范围，到2026年初已成为全球最活跃的两大勒索软件威胁之一。

🔗https://cybersecuritynews.com/the-gentlemen-ransomware-attacks-windows/

4. DragonForce勒索软件组织声称从AdvancedHEALTH窃取了390GB的数据

DragonForce声称从AdvancedHEALTH窃取了390GB的数据，包括患者数据和未成年人记录，泄露通知和法律审查已经开始。

🔗https://www.techrepublic.com/article/news-advancedhealth-ransomware-patient-data-claim/

5. 微软摧毁了恶意软件签名网络 Fox Tempest

微软破坏 Fox Tempest，这是一种恶意软件签名即服务 (MSaaS)，允许攻击者使用伪造的受信任证书对恶意软件进行签名。

🔗https://securityaffairs.com/192391/cyber-crime/microsoft-dismantled-malware-signing-network-fox-tempest.html

6. 攻击者滥用微软数十年历史的MSHTA工具

攻击者越来越多地滥用微软已有数十年历史的 MSHTA 实用程序，通过网络钓鱼、虚假软件下载和基于 LOLBIN 的攻击链，隐蔽地传播窃取程序、加载程序和持久性恶意软件。

🔗https://www.securityweek.com/legacy-windows-tool-mshta-fuels-surge-in-silent-malware-attacks/

7. macOS恶意软件安装虚假谷歌软件更新启动代理以实现持久化

macOS用户正面临一种新型且复杂的威胁，一种名为“Reaper”的SHub信息窃取恶意软件变种已被观察到在受感染的设备上部署一个伪造的Google软件更新启动代理程序，以保持持久访问。

🔗https://cybersecuritynews.com/macos-malware-installs-fake-google-software/

8. “Ramz”行动查获53台与网络诈骗和恶意软件威胁有关的服务器

一项名为“Ramz行动”的大规模国际网络犯罪打击行动，已在中东和北非地区查获53台服务器，逮捕201人，并确认了另外382名嫌疑人。

🔗https://cybersecuritynews.com/operation-ramz-seizes-53-servers/

9. PureLogs 信息窃取者正在全球窃取凭据

Fortinet 研究人员发现，有人利用网络钓鱼活动，将功能强大的 PureLogs 信息窃取程序隐藏在猫咪照片中，从而偷偷植入目标用户的 Windows 电脑。

🔗https://www.helpnetsecurity.com/2026/05/19/purelogs-infostealer-delivery-steganography/

1. Apache Flink 严重漏洞可导致远程代码执行攻击

Apache Flink 中新披露的一个严重漏洞（编号为 CVE-2026-35194）会使分布式数据处理环境面临远程代码执行 (RCE) 攻击的风险，该攻击是通过平台代码生成引擎中的 SQL注入缺陷实现的。

🔗https://cybersecuritynews.com/apache-flink-vulnerability/

2. 关键 SEPPmail 网关漏洞允许远程代码执行和邮件流量窃取

SEPPmail 安全电子邮件网关中的关键漏洞使组织面临远程代码执行（RCE）和敏感电子邮件流量被拦截的潜在风险。研究人员发现多个高危漏洞影响 SEPPmail 设备，这些设备在德语国家广泛部署。

🔗https://cybersecuritynews.com/seppmail-gateway-flaws/

3. Drupal修复一个极度严重的漏洞，该漏洞存在被快速利用的风险

Drupal 警告用户，它正在准备一个补丁，以修复一个“高度严重”的漏洞，该漏洞可能在披露后不久就被攻击者利用。

🔗https://www.securityweek.com/drupal-to-patch-highly-critical-vulnerability-at-risk-of-quick-exploitation/

4. 存在20年的PostgreSQL远程代码执行漏洞利用程序(PoC)公开

针对 CVE-2026-2005 最新发布的概念验证 (PoC) 漏洞利用程序再次引起人们对 PostgreSQL pgcrypto 扩展中一个严重漏洞的关注，该漏洞会使系统面临远程代码执行 (RCE) 的风险。该漏洞源于近二十年前的遗留代码路径，可能允许攻击者提升权限并在受影响的服务器上执行任意命令。

🔗https://gbhackers.com/20-year-old-postgresql-flaw-gets-public-poc-exploit/

5. 关键漏洞使工业机器人集群面临黑客攻击风险

该漏洞 CVE-2026-8153 影响 Universal Robots PolyScope 5，可被利用进行操作系统命令注入。

🔗https://www.securityweek.com/critical-vulnerability-exposes-industrial-robot-fleets-to-hacking/

6. 黑客积极利用影响 NGINX 和 F5 产品的“Nginx Rift”漏洞

黑客正在积极利用影响 NGINX 和 F5 产品的 Nginx Rift 漏洞，使服务器面临拒绝服务攻击的风险。

🔗https://hackread.com/hackers-exploit-nginx-rift-vulnerability-nginx-f5-products/

7. DirtyDecrypt Linux 内核漏洞 PoC 攻击代码已发布

针对名为 DirtyDecrypt（也称为 DirtyCBC）的高危 Linux 内核本地权限提升漏洞(CVE-2026-31635)，已开发出一个概念验证 (PoC) 漏洞利用程序，该程序允许本地攻击者获得受影响系统的完全 root 访问权限。

🔗https://cybersecuritynews.com/dirtydecrypt-linux-kernel-vulnerability/

8. Pwn2Own Berlin 2026 闭幕，零日漏洞奖金达 130 万美元

Pwn2Own Berlin 2026黑客大赛于 2026 年 5 月 16 日在 OffensiveCon 大会上落下帷幕，为期三天的激烈角逐终于结束，研究人员通过现场演示 47 个独特的零日漏洞，共获得约 1,298,250 美元的奖金。

🔗https://hackread.com/pwn2own-berlin-2026-closes-zero-day-payouts/