俄羅斯駭客UAC-0050攻擊歐洲金融機構，假冒烏克蘭司法機構郵件散布RMS遠端工具

資安業者BlueVoyant於今年3月發布威脅分析，揭露俄羅斯相關駭客組織UAC-0050在2月對一家歐洲金融機構發動社交工程攻擊。烏克蘭電腦緊急應變小組（CERT-UA）追蹤該威脅行為者為UAC-0050，部分研究亦將其稱為DaVinci Group或Agency DaVinci，而BlueVoyant則將此次攻擊活動命名為Mercenary Akula。攻擊者偽造烏克蘭司法機構網域寄送魚叉式釣魚郵件，誘使目標下載惡意檔案並安裝遠端管理工具Remote Manipulator System（RMS）。

UAC-0050假冒烏克蘭司法機構郵件，誘導受害者下載惡意壓縮檔

BlueVoyant安全營運中心（Security Operations Center，SOC）在2月9日偵測到一封寄給目標用戶的魚叉式釣魚郵件。郵件主旨為「Request from the Chernihiv Administrative Court for Case #81435126」，並偽裝成來自烏克蘭地方政府網域chernigiv-rada[.]gov[.]ua的司法機構郵件，以提高郵件可信度。郵件內容附帶連結，指向檔案分享服務Pixeldrain，誘導收件者下載壓縮檔。該ZIP檔名稱為「Електронний судовий запит №837744-8-2026 від 09.02.2026 — 865.zip」，意指「電子法院請求」，藉此營造官方司法文件情境，增加受害者開啟檔案的可能性。

圖片來源／BlueVoyant

BlueVoyant表示，攻擊者利用第三方檔案分享平臺散布惡意檔案，可降低郵件安全系統透過網域信譽辨識可疑郵件的效果，也讓釣魚郵件更容易繞過安全過濾機制。

惡意檔案利用多層壓縮與雙副檔名偽裝，最終安裝RMS遠端管理工具

研究人員進一步分析攻擊樣本後發現，下載的ZIP檔內採用多層壓縮結構。壓縮檔中先是一個RAR檔，內部再包了一個受密碼保護的7-Zip檔案，最後才是實際執行的程式。該執行檔利用雙副檔名技巧偽裝成PDF文件（.pdf.exe），讓使用者誤以為只是一般文件而開啟。報告指出，這種多層壓縮並搭配密碼保護的設計，主要目的是避免惡意程式被自動掃描機制提前偵測。當受害者開啟檔案後，系統會啟動RMS的MSI安裝程式。RMS是一款遠端桌面管理工具，可提供遠端控制、桌面共享與檔案傳輸等功能。攻擊者一旦在受害電腦上安裝該工具，便能建立遠端存取能力，進一步蒐集資料或展開後續滲透行動。

BlueVoyant表示，RMS原本是合法的遠端管理工具，但若遭濫用，攻擊者往往可藉此在受害系統中維持長期遠端存取，並用於資料蒐集或後續入侵。這類利用合法系統工具發動攻擊的手法，被稱為「就地取材」（living-off-the-land）。由於相關工具本身並非惡意程式，在部分情況下較不容易被傳統防毒軟體或安全系統偵測。

UAC-0050攻擊行動擴展至海外，被視為具初始入侵仲介特徵的傭兵型駭客

BlueVoyant將UAC-0050歸類為兼具網路間諜活動與金融犯罪動機的傭兵型威脅團體。過去該組織的攻擊活動多集中於烏克蘭境內機構，尤其鎖定會計與財務人員等職務。此次攻擊鎖定歐洲金融機構，顯示該組織可能開始試探支援烏克蘭重建或相關合作計畫的西歐機構，也意味著俄羅斯相關網路行動可能正逐步擴大至與烏克蘭合作的國際組織。

依據烏克蘭CERT-UA過去公開的威脅情資，UAC-0050被描述為與俄羅斯執法機構有關的傭兵型駭客團體，其行動模式接近初始存取仲介（Initial Access Broker），能快速為後續攻擊取得入侵管道。開源威脅研究團體BushidoToken亦將Mercenary Akula攻擊行動與「DaVinci Group」或「Agency DaVinci」等名稱聯繫在一起，並認為這些名稱可能是該威脅行為者對外使用的品牌或身分標識，其背後的威脅行為者同樣具備初始入侵仲介的運作特徵。

俄羅斯駭客持續鎖定烏克蘭與北約組織，強化情報蒐集行動

除了Mercenary Akula相關活動外，端點安全與威脅情報業者CrowdStrike在年度威脅報告《Global Threat Report》中也提到，與俄羅斯相關的駭客組織預期將持續對烏克蘭及北約（NATO）成員國相關組織，展開情報蒐集行動。

其中，被追蹤為APT29（又稱Cozy Bear、Midnight Blizzard）的俄羅斯駭客組織，近期透過魚叉式釣魚攻擊鎖定美國非政府組織（NGO）與法律機構，企圖取得受害者Microsoft帳號存取權限。CrowdStrike指出，攻擊者經常冒充受害者信任的合作夥伴，例如國際NGO或支持烏克蘭的組織成員，並利用遭入侵的電子郵件帳號或臨時通訊管道強化偽裝可信度，以提高釣魚攻擊成功率。