文章总结： 俄罗斯APT组织利用BadPaw和MeowMeow恶意软件针对乌克兰发起攻击。攻击始于钓鱼邮件，利用多阶段感染链部署后门，采用.NETReactor混淆与隐写术规避检测，并具备反沙箱能力。研究人员因俄语代码痕迹与战术重叠高置信度归因俄罗斯。文档详细分析了技术细节与攻击特征，提供可操作的安全情报。 综合评分： 85 文章分类： 威胁情报,恶意软件,逆向分析,社会工程学,安全大事件

俄罗斯APT组织利用BadPaw和MeowMeow恶意软件攻击乌克兰

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月6日 09:04 湖北

导读

研究人员发现，俄罗斯黑客发起一场针对乌克兰实体的攻击活动，利用网络钓鱼邮件传播新型恶意软件家族 BadPaw 和 MeowMeow。

该活动利用两种新型恶意软件家族 BadPaw 和 MeowMeow，以乌克兰组织为目标。攻击链始于一封包含 ZIP 压缩文件链接的网络钓鱼邮件。打开该压缩文件后，HTA 文件会显示一段乌克兰语的诱饵信息，内容是关于鼓励人们越境，同时暗中启动感染链。

攻击链始于一封包含ZIP压缩包链接的钓鱼邮件。解压后，初始的HTA文件会显示一份用乌克兰语编写的诱饵文件，内容涉及边境通行许可，旨在欺骗受害者。

与此同时，感染会触发BadPaw的下载，  BadPaw是一个基于.NET的加载器。建立命令与控制（C2）通信后，该加载器会部署 MeowMeow， 一个复杂的后门程序。

研究人员发现，这两种恶意软件都使用.NET Reactor加壳器来增加分析和逆向工程的难度，这表明攻击者意图逃避检测并保持长期持久性。

BadPaw采用的另一层防御措施是使用.NET Reactor，这是一款用于.NET程序集的商业保护和混淆工具。该打包工具可以混淆底层代码，从而阻碍静态分析和逆向工程。

该恶意软件还包含多种防御机制。除非使用特定参数启动，否则其组件将保持非活动状态，显示无害界面并执行无害代码。

MeowMeow后门程序会增加环境检查，扫描系统中是否存在虚拟机以及Wireshark、ProcMon 和 Fiddler等分析工具。如果检测到沙箱或研究环境，它会立即停止执行以避免被调查。

ClearSky的研究人员高度确信此次攻击活动是由一个与俄罗斯有关联的网络间谍组织所为，而对APT28威胁组织的可信度较低。

他们的评估基于三个因素：攻击目标为乌克兰实体、代码中存在俄语痕迹，以及与以往俄罗斯网络行动一致的策略，包括多阶段感染链和基于.NET的加载器。

与此同时，该攻击链导致部署一个名为 BadPaw 的基于 .NET 的加载器，然后 BadPaw 与远程服务器建立通信，以获取并部署一个名为 MeowMeow 的复杂后门。

根据攻击目标范围、诱饵的地缘政治性质以及与之前俄罗斯网络行动中观察到的技术的重叠， 人们有一定把握将此次攻击归咎于俄罗斯威胁组织 APT28 。

ClearSky 的研究报告详细阐述了一条多阶段感染链，该感染链始于一封通过乌克兰网络服务提供商 ukr[.]net 发送的钓鱼邮件。ukr[.]net 此前曾被俄罗斯网络攻击活动滥用。邮件中包含一个链接，点击该链接后会加载一个追踪像素，以便在受害者点击时通知攻击者，然后将受害者重定向到一个短链接，该短链接会下载一个 ZIP 压缩文件。

该压缩包内包含一个伪装成 HTML 文档的 HTA 文件。执行后，它会打开一个关于乌克兰边境通行申请的诱饵文档，同时悄悄启动恶意程序。该 HTA 文件会通过验证系统安装日期来执行反分析检查，并在最近安装的系统上中止执行，这是一种常见的沙箱规避策略。

投放的诱饵文件是一种社会工程策略，它伪装成一份政府关于乌克兰边境通行申请的确认函。这种诱饵旨在维持合法性的假象，同时HTA文件在后台执行其后续阶段。

为了逃避检测并识别潜在的沙箱环境，HTA文件会检查以下注册表项：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。通过查询此值，恶意软件可以计算操作系统的‘年龄’。如果系统安装时间不足十天，恶意软件就会终止。这是一种常见的反分析技术，用于避免在新配置的虚拟机或自动化分析沙箱中执行。

如果满足条件，它会搜索原始归档文件，提取其他组件，并通过计划任务建立持久化连接。然后，一个 VBS 脚本使用隐写术检索嵌入在图像中的隐藏有效载荷数据，提取出一个 PE 文件。研究人员将该文件识别为 BadPaw 加载器，最终部署 MeowMeow 后门并建立命令与控制通信。

研究人员在恶意软件代码中发现了俄语字符串，其中包括一个指示达到运行状态所需时间的字符串。这些痕迹表明该恶意软件可能源自俄罗斯，并可能反映了安全操作方面的失误，或是未针对乌克兰目标进行适配的遗留开发元素。

报告总结道：“这些俄语字符串的存在表明了两种可能性：攻击者犯了操作安全（OPSEC）错误，未能针对乌克兰目标环境对代码进行本地化；或者他们在恶意软件的生产阶段无意中将俄语开发痕迹留在了代码中。”

技术报告：

https://www.clearskysec.com/russian-campaign-targeting-ukraine-badpaw-and-meowmeow/

新闻链接：

Russian APT targets Ukraine with BadPaw and MeowMeow malware

今日安全资讯速递

APT事件

Advanced Persistent Threat

巴基斯坦APT36组织利用人工智能制造的“Vibeware”攻击印度政府网络

Pakistan-Linked APT36 Floods Indian Govt Networks With AI-Made ‘Vibeware’

间谍软件丑闻席卷欧洲

Italian prosecutors confirm journalist was hacked with Paragon spyware

Dust Specter 使用新型 SPLITDROP 和 GHOSTFORM 恶意软件攻击伊拉克官员

https://thehackernews.com/2026/03/dust-specter-targets-iraqi-officials.html

疑似朝鲜威胁组织通过协同攻击入侵加密货币公司，窃取密钥和云资产

Suspected DPRK Threat Actors Compromise Crypto Firms, Steal Keys and Cloud Assets in Coordinated Attacks

黑客利用新型恶意软件工具包攻击南美电信公司

https://blog.talosintelligence.com/uat-9244/

俄罗斯APT组织利用BadPaw和MeowMeow恶意软件攻击乌克兰

Russian APT targets Ukraine with BadPaw and MeowMeow malware

一般威胁事件

General Threat Incidents

威胁组织利用新型 RingH23 武器库大规模入侵 MacCMS 和 CDN 基础设施

Threat Actors Use New RingH23 Arsenal to Compromise MacCMS and CDN Infrastructure at Scale

威胁组织利用伪造的 Claude 代码下载部署信息窃取程序

Threat Actors Using Fake Claude Code Download to Deploy Infostealer

OpenClaw 最新安全风险：利用虚假 GitHub 仓库部署信息窃取程序

Latest OpenClaw Security Risk: Fake GitHub Repositories Used to Deploy Infostealers

RedAlert移动间谍活动利用植入木马的Rocket Alert应用程序监视平民

RedAlert Mobile Espionage Campaign Targets Civilians with Trojanized Rocket Alert App for Surveillance

FBI和欧洲刑警组织联手捣毁LeakBase网络犯罪论坛

Operation Leak: FBI and Europol dismantle LeakBase Cybercrime forum

漏洞事件

Vulnerability Incidents

MongoDB 新漏洞允许黑客瘫痪任何 MongoDB 服务器

New MongoDB Vulnerability Lets Hackers Crash Any MongoDB Server

思科警告称SD-WAN管理器存在被利用的风险

Cisco warns of SD-WAN Manager exploitation, fixes 48 firewall vulnerabilities

FreeScout漏洞允许通过电子邮件进行未经身份验证的零点击远程代码执行（CVE-2026-28289）

FreeScout vulnerability enables unauthenticated, zero-click RCE via email (CVE-2026-28289)

Google 发现针对 iOS 13–17.2.1 的 Coruna iOS 漏洞利用工具包

Google uncovers Coruna iOS Exploit Kit targeting iOS 13–17.2.1

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《俄罗斯APT组织利用BadPaw和MeowMeow恶意软件攻击乌克兰》