医院WhatsApp被偷，黑客怎么绕过杀毒软件的？

你有没有想过，为什么医院和政府机构的电脑明明装了杀毒软件，黑客还是能大摇大摆地偷走WhatsApp聊天记录？乌克兰最近曝光的一起攻击事件，手法之绕、工具之杂，简直像在看一场"黑客工具博览会"。

一张图看懂攻击全链条

乌克兰计算机应急响应小组（CERT-UA）今年3-4月记录到一波密集攻击，幕后黑手被追踪为UAC-0247。他们的目标很明确：地方政府、市政医疗机构、临床医院、急救救护车服务，甚至国防军代表和FPV无人机操作员。

整个攻击像搭积木一样层层嵌套。我们先把核心流程画出来：

【钓鱼邮件/Signal消息】→【假网站或漏洞跳转】→【下载压缩包】→【快捷方式触发HTA】→【远程加载恶意脚本】→【后台投放可执行文件】→【计划任务持久化】→【AGINGFLY远控上线】→【CHROMELEVATOR偷浏览器/ZAPIXDESK偷WhatsApp】→【RUSTSCAN扫内网/LIGOLO-NG建隧道】

这张图最诡异的地方在于：每一步用的都是"合法工具"或"合法流程"。没有零日漏洞，没有惊天动地的技术突破，但组合起来就是能绕过层层防护。

第一层伪装： humanitarian aid当诱饵

攻击起点是一封邮件，主题围绕"人道主义援助讨论"。收件人被要求点击一个链接。

为了让链接可信，攻击者走了两条路：

第一条路是用AI工具搭建假网站。现在用AI生成一个看起来像模像样的援助组织官网，成本几乎为零，还能针对不同目标定制页面语言和内容。

第二条路更阴：直接跳转到存在跨站脚本漏洞（XSS）的正规第三方网站。受害者看到的是熟悉域名，警惕性自然下降。点击之后，一个压缩包开始下载。

3月10日有个典型案例。攻击者通过Signal发送名为"bachu.zip"的文件，伪装成FPV操作员常用的"BACHU"软件更新版本。Signal在乌克兰战场通信中广泛使用，这种渠道选择本身就很精准。

第二层诱导：HTA文件的"明修栈道"

压缩包打开后，里面是个快捷方式文件（.lnk）。双击它，系统调用的是标准的HTA（HTML应用程序）处理工具——这是Windows自带的功能，完全合法。

HTA文件会拉取并执行一个远程HTA脚本。这时候受害者屏幕上弹出一个"诱饵表单"，可能是某个援助申请表或软件安装界面。人的注意力被吸引在前台，后台却在悄悄完成另一件事：通过计划任务投放并启动一个可执行文件。

这种"明修栈道，暗度陈仓"的设计，核心是利用人的认知带宽有限。前台越像回事，后台越隐蔽。

在bachu.zip案例中，压缩包里实际藏的是DLL文件。主程序一运行，就通过DLL侧加载（DLL side-loading）技术启动AGINGFLY恶意程序。这种技术把恶意代码塞进合法程序的加载流程，杀毒软件很难分辨。

第三层控制：AGINGFLY的"外挂式"架构

AGINGFLY是整个攻击链条的核心远控工具，用C#编写。功能清单很标准：执行命令、下载文件、截屏、键盘记录、内存代码执行。

但它有个极不寻常的设计：命令处理器（command handlers）并不内嵌在恶意程序里。

这意味着什么？传统远控木马通常把所有功能打包在一起，一旦被逆向分析，全套能力暴露无遗。AGINGFLY更像一个"骨架"，具体怎么动，靠外部指令实时下发模块。分析人员拿到样本，只能看到空壳，核心逻辑在攻击者服务器上。

这种架构让静态检测几乎失效。杀毒软件看文件特征？没问题，这是个"无害"的骨架。行为分析？它初期几乎不做任何敏感操作，直到收到指令。

第四层收割：浏览器和WhatsApp成为重点目标

站稳脚跟后，攻击者开始部署专用工具收割数据。

CHROMELEVATOR专门对付浏览器——不只是Chrome，名字里的"CHROME"更像品牌代称。它提取的是认证数据、保存的密码、自动填充信息。对医院和政府工作人员来说，浏览器里往往存着内网系统的登录凭证，一锅端等于拿到内网通行证。

ZAPIXDESK更针对性：专门偷WhatsApp数据。WhatsApp桌面版在乌克兰的普及度很高，医疗协调、物资调配、甚至伤员信息都可能通过这个渠道传递。聊天记录、联系人、媒体文件，都是高价值情报。

这两款工具的出现说明攻击者做过功课。不是盲目撒网，而是明确知道目标环境里什么数据最有用。

第五层扩张：内网渗透的"工具博览会"

数据偷到手，攻击者还不满足。他们开始横向移动，把单点突破变成网络沦陷。

工具清单读起来像开源安全工具的反向使用：

RUSTSCAN——公开的端口扫描器，用Rust重写，速度极快。用于快速绘制内网拓扑，找出下一批攻击目标。

LIGOLO-NG和CHISEL——都是隧道工具，建立隐蔽的反向连接通道。内网隔离？不存在的，流量伪装成正常HTTPS出去。

甚至还有个意外发现：XMRIG门罗币挖矿程序，打包成DLL，通过修改过的WIREGUARD（一款合法VPN工具）加载。这可能是攻击者的"副业"——既然控制了机器，顺便挖点矿补贴服务器成本。也可能是故意投放的烟雾弹，让防御者误以为是普通黑产，掩盖真实目的。

这种"工具杂烩"风格，既说明攻击者技术栈灵活，也暴露了一个现实：现代攻击不需要自研全套武器，开源工具+合法程序的组合，足以完成高度复杂的入侵。

为什么这套打法能成？

拆解完链条，回头看几个关键设计：

信任链劫持——从人道主义援助话题，到XSS漏洞的正规网站，再到Windows自带的HTA处理程序，每一步都寄生在"可信"元素上。人的警惕性被层层消解。

合法工具滥用——HTA、计划任务、WIREGUARD、RUSTSCAN，全是正经软件。防御系统很难在"用合法工具做坏事"和"正常业务行为"之间画清界限。

模块化架构——AGINGFLY的"骨架"设计，让样本分析变成拼图游戏。即使抓到一部分，看不到全貌。

多平台覆盖——邮件、Signal、WhatsApp，攻击者出现在目标日常使用的所有渠道。不是逼你用某个特定工具，而是你在哪，我就在哪。

给防御方的三个提醒

这次事件没有惊天动地的零日漏洞，但组合起来的穿透力极强。对同类机构来说，值得检查三个环节：

第一，HTA文件处理。Windows默认允许HTA执行，但很多环境其实用不到这个功能。通过组策略限制或监控HTA启动，能打断攻击链条的关键一环。

第二，DLL侧加载。检查常用程序目录下是否有异常DLL，特别是那些名字接近系统文件但路径可疑的。bachu.zip案例里，恶意DLL就是靠着和主程序同名或近名的方式蒙混过关。

第三，WhatsApp桌面版的数据保护。聊天记录本地存储加密强度有限，敏感对话考虑使用 disappearing messages（限时消息），或至少确保设备本身的登录安全。

行动号召

下次收到"人道主义援助"主题的邮件，或者Signal里突然有人发来软件更新包，多停三秒想想：这个链条的每一步，是不是正在你眼前展开？攻击者赌的就是这三秒的疏忽。别让他们赢。