文章总结： 本文汇总了2026年2月下旬多起网络安全事件。重点包括UAC-0050、APT28及MuddyWater等组织针对欧洲、中东政府及金融机构发起的鱼叉式钓鱼与恶意软件攻击，利用宏代码与Webhook技术窃取情报。此外，报道了针对物流企业的钓鱼即服务攻击，以及美国医疗行业频发的勒索软件攻击与数据泄露事件，导致多家诊所关闭与大量患者数据外泄。整体反映了钓鱼攻击与勒索软件依然是当前主要威胁。 综合评分： 65 文章分类： 威胁情报,安全大事件,恶意软件,数据泄露,社会工程学

安全快报 | UAC-0050黑客组织针对欧洲金融机构发起鱼叉式钓鱼邮件攻击

天懋信息

2026年2月27日 15:34 广东

本周安全事件速览

02月20日-02月27日

01

UAC-0050黑客组织针对欧洲金融机构发起鱼叉式钓鱼邮件攻击

简要介绍

与俄罗斯结盟的黑客被观察到针对一家欧洲金融机构发起鱼叉式钓鱼邮件攻击，作为社交工程攻击的一部分，目的可能是为了情报收集或金融盗窃。该活动被归因于一个名为UAC-0050（又名达芬奇集团）的网络犯罪组织，其入侵对象为一个未具名的参与区域发展和重建项目的实体。BlueVoyant已将该威胁集群命名为“雇佣兵阿库拉”。据悉，攻击过程中伪造了一个乌克兰司法域名，发送了一封包含远程访问载荷链接的电子邮件。攻击起点是一封鱼叉式钓鱼邮件，利用法律主题引导收件人下载托管在PixelDrain上的归档文件，PixelDrain是黑客用来绕过基于声誉的安全控制的工具。乌克兰计算机应急响应小组（CERT-UA）将UAC-0050描述为与俄罗斯执法机构相关的雇佣兵团体，以“Fire Cells”品牌进行数据收集、金融盗窃以及信息和心理战。

文章来源：The Hacker News

02

吉尔吉斯斯坦和塔吉克斯坦电信公司遭UnscicitedBooker威胁组织钓鱼邮件攻击

简要介绍

UnsolicitedBooker威胁组织已被观察到针对吉尔吉斯斯坦和塔吉克斯坦的电信公司发起系列钓鱼邮件攻击。根据Positive Technologies发布的一份报告，这些攻击涉及两个代号为LuciDoor和MarsSnake的不同后门。UnscicitedBooker最早于2025年5月被记录，该组织被评估自2023年3月起活跃，并有针对亚洲、非洲和中东组织的历史。对该黑客组织的进一步分析发现，该群集与另外两个集群存在战术重叠，包括Space Pirates以及一个尚未归因的针对沙特阿拉伯的活动，该活动还设有名为Zardoor的后门。据悉，最新一组攻击于2025年9月底被发现针对吉尔吉斯斯坦的政府组织，邮件中包含一份Microsoft Office文档，打开后会指示收件人“启用内容”以运行恶意宏。UnsolicitedBooker据称还利用钓鱼邮件针对塔吉克斯坦政府实体目标。虽然整体攻击链保持不变，但这些消息是嵌入了与诱饵文件的链接，而非直接附加。

文章来源：The Hacker News

03

欧洲多国政府实体遭APT28俄罗斯黑客组织基于Webhook的宏恶意软件入侵

简要介绍

与俄罗斯有关的国家支持黑客组织被追踪为APT28，已被归因于针对西欧和中欧多国政府实体的新型网络入侵活动。据统计，该活动活跃于2025年9月至2026年1月期间，行动代号为“宏观迷宫行动”。据悉，该活动依赖于基础工具和利用合法服务进行基础设施和数据窃取，这些攻击链以鱼叉式钓鱼邮件为起点，分发包含其XML中共同结构元素的诱饵文档，该字段名为“INCLUDEPICTURE”，指向一个webhook[.]，该网站的URL托管JPG图像。这会导致在打开文档时从远程服务器获取图像文件。该机制类似于追踪像素的信标机制，触发向webhook[.]的外部HTTP请求，打开文档时查看网站网址，服务器可以记录与请求相关的元数据，确认文档确实被接收方打开。2025年9月至2026年1月间出现的变种使用修改后的宏投放恶意软件并在受攻破系统上部署额外负载。

文章来源：The Hacker News

04

伊朗黑客组织MuddyWater针对中东和北非多个政府组织发起恶意钓鱼邮件攻击

简要介绍

名为MuddyWater的伊朗黑客组织针对主要分布在中东和北非（MENA）地区的多个政府组织和个人，发起代号“奥拉兰波行动”的新型网络攻击活动。根据Group-IB发布的一份报告，该活动首次于2026年1月26日被观察到，发起了新的恶意软件家族的部署，这些恶意软件家族共享了先前被识别为黑客使用的重叠样本。这些包括GhostFetch和HTTP_VIP等下载器，以及一个名为CHAR的Rust后门和代号GhostBackDoor的高级植入体，由GhostFetch投放。这些攻击遵循类似模式，首先是一封带有Microsoft Office文档的钓鱼邮件，其中包含恶意宏代码，解码嵌入的有效载荷并将其投放到系统上并执行，从而让对方远程控制系统。Group-IB总结称此次行动主要针对中东北非地区的组织，黑客组织持续采用人工智能技术，结合定制恶意软件和工具的持续开发以及多样化的指挥控制（C2）基础设施。

文章来源：The Hacker News

05

美国和欧洲物流公司遭受黑客组织利用钓鱼即服务工具（PhaaS）发起的持续数月钓鱼攻击

简要介绍

据悉，相关调查人员已识别、揭露并破坏了一场持续数月的有组织犯罪行动，该组织销售一种钓鱼即服务工具（PhaaS），目标是西方热门物流平台的用户。钓鱼即服务平台订阅者通过外部支付处理商支付加密货币。该钓鱼平台与52个不同的钓鱼域名的部署有关，该组织利用这些域名针对5.7万名电子邮件地址持有者窃取凭证，同时还尝试了35起电子资金来源（EFS）支票欺诈事件。该组织至少花了五个月时间系统性地针对美国和欧洲的货运和物流公司，窃取了主要物流平台用户的1600多个独立登录凭证。该PhaaS平台配备了专门的钓鱼基础设施，日常被货运经纪人、卡车公司和供应链运营商使用，装载板、车队管理门户、燃油卡系统和货运交换站等都是其目标之一。

文章来源：Bank Info Security

06

美国医疗器械制造商UFP科技公司向美国证券交易委员会报告其公司相关数据被盗或遭销毁

#

#

#

#

简要介绍

总部位于美国马萨诸塞州的一次性医疗器械及其他医疗用品制造商UFP科技公司已通知美国证券交易委员会，2月14日在其IT系统中发现了一起涉及部分公司数据被盗或销毁的网络事件。该公司表示，已立即采取措施控制和修复事件，包括隔离受影响的系统。UFP告诉SEC，导致此次事件的黑客已被从公司IT系统中剔除，UFP访问受影响信息的能力已在所有实质性方面恢复。尽管如此，上报文件称部分UFP或公司相关数据似乎被盗或销毁。UFP表示，此次事件影响了客户配送的计费和标签制作等IT系统。UFP仍在调查受影响系统和文件中所包含的任何敏感或个人信息的程度。迄今为止，该事件尚未对UFP的财务体系、运营或财务状况产生实质性影响。

文章来源：Bank Info Security

07

美国密西西比大学医学中心遭勒索软件攻击导致三十多家诊所关闭业务系统

#

#

#

#

简要介绍

美国密西西比大学医学中心UMMC在全州的三十多家医疗诊所被关闭，择期性手术也被取消，因为密西西比州唯一的学术健康科学中心遭到勒索软件攻击。UMMC表示，2月19日的攻击影响了其Epic电子健康记录和电话系统，医疗中心选择关闭所有其他系统，包括电子邮件进行测试以确保其安全。该医疗中心位于密西西比州杰克逊的主院区包括四家医院，大学医院、密西西比儿童医院、怀泽妇女与婴儿医院以及康纳利重症监护医院。自2月19日起，UMMC的诊所一直关闭，其位于杰克逊、格林纳达、麦迪逊县和霍尔姆斯县的所有医院和急诊科现已开放，但这些设施仍依赖人工病历记录及相关流程。在2月19日的新闻发布会上，UMMC领导人透露他们与勒索软件攻击者保持联系，但未透露讨论细节。

文章来源：Bank Info Security

08

Everest勒索软件组织袭击美国医疗诊断公司Vikor Scientific的供应商导致其14万患者数据被盗

#

#

#

#

简要介绍

Everest勒索软件组织声称对Vikor Scientific发动了网络攻击。据美国卫生与公共服务部（HHS）报道，这家医疗诊断公司近14万人的数据遭到泄露。该事件源于对其第三方收入周期管理服务提供商Catalyst RCM的攻击。2025年11月13日左右，Catalyst在其安全文件系统中检测到可疑活动，公司对事件展开调查发现授权登录被滥用访问服务器，并在未经许可的情况下复制数据。随后，Everest勒索软件集团将Vikor Scientific及其关联实验室KorPath和Korgene加入其Tor数据泄露网站。该组织声称“公司内部文件包含各种个人文件、电子病历、患者的私人信息、账单信息等”被盗。由于Catalyst RCM很可能未支付赎金，网络犯罪团伙发布了涉嫌被盗的数据，包括Vikor Scientific的文件。Everest声称盗窃了包含25,303个PDF文件的Vikor Scientific数据库和包含1,344个PDF文件的Korgene数据库。

文章来源：Security Affairs

往期回顾：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天懋信息 《安全快报 | UAC-0050黑客组织针对欧洲金融机构发起鱼叉式钓鱼邮件攻击》