乌克兰战争开打已超过2年半，两国不光是军事行动你来我往，网络环境的攻击行动也不时传出，甚至有不少专门从事这类攻击的黑客组织产生。

其中，资安业者卡巴斯基揭露的黑客组织Head Mare，就是典型的例子。研究人员指出，这些黑客从2023年开始活动，利用WinRAR已知漏洞CVE-2023-38831对俄罗斯、白俄罗斯企业组织发动攻击，在入侵受害组织得逞后，又使用公开的工具运行后续活动，其中包含LockBit、Babuk勒索软件，来加密受害电脑的文件。

专门针对俄罗斯企业组织发动攻击并进行破坏的黑客组织，使用的攻击手法和工具往往相当类似，但Head Mare取得受害组织的初始入侵管道方法较不同，其中一种就是利用CVE-2023-38831，使得黑客能够更有效地伪装并传递有效酬载。基本上，这种对于敌对国家企业组织发动攻击的黑客组织，主要目的是进行破坏，但Head Mare会索讨赎金，使得受害组织能够复原被加密的数据。

截至目前为止，这些黑客声称已攻陷9个企业组织，这些涵盖政府机关、运输、能源、制造，以及娱乐产业。

究竟这些黑客如何入侵受害组织？研究人员指出通常是通过恶意程序PhantomDL、PhantomCore来进行，黑客通过网络钓鱼散布文件，一旦用户试图打开诱饵文件，就会触发CVE-2023-38831，运行恶意程序。而这些恶意程序，便会与C2服务器进行通信，并解析受害主机所属的网域环境。附带一提，黑客使用Sliver架设C2通信环境，。

为了进行横向移动，黑客使用名为Pivoting的手法，将已遭入侵的电脑充当节点，滥用ngrok及rsockstun等公用程序存取私人网段的环境。

其中，他们运用rsockstun打造SOCKS5反向隧道，此信道具备代理服务器功能，并使用SSL进行加密通信。如此一来，攻击者便能存取在NAT或防火墙之后的设备。至于ngrok，攻击者则是用来创建从互联网到内部网页服务器的安全隧道。

而这黑客最终会将受害组织的文件进行加密，值得留意的是，对于不同平台，他们采用加密工具也有所不同。其中，针对Windows电脑是使用LockBit，而针对VMware虚拟化平台ESXi，黑客则是利用Linux版Babuk。