微软在近日发布的一篇关于ACTINIUM黑客组织的研究报告中表示，在过去的六个月中，微软威胁情报中心MSTIC观察到ACTINIUM针对乌克兰的政府、军事、司法、执法、非政府组织和非营利组织的一系列行动，其主要目的为窃取敏感数据、保持访问权限，并使用获得的访问权限横向进入相关组织。在去年11月，乌克兰政府已公开将该组织的行动归咎于俄罗斯联邦安全局（FSB）。

ACTINIUM组织又名Shuckworm、Gameredon、Armageddon ，该组织已经运营了近十年，自2013年以来一直活跃，专门从事主要针对乌克兰实体的网络间谍活动。该组织使用网络钓鱼电子邮件向目标分发远程访问工具，包括合法且功能齐全的开源远程控制程序UltraVNC，以及名为Pterodo / Pteranodon的定制恶意软件。

乌克兰安全局（SSU）最近发布的一份报告指出，该组织的攻击近年来变得越来越复杂，攻击者现在使用离地（living-off-the-land）工具窃取凭据并在受害者网络上横向移动。

ACTINIUM最常用的访问媒介之一是带有恶意宏附件的鱼叉式网络钓鱼电子邮件，通过远程模板注入的方式进行攻击。远程模板注入利用Office文档加载附加模板的缺陷发起恶意请求来达到攻击目的。

使用远程模板注入可确保仅在需要时（例如当用户打开文档时）加载恶意内容，而文档本身没有恶意代码，这有助于攻击者避开静态检测。远程托管恶意宏还允许攻击者控制交付恶意组件的时间和方式，通过阻止自动化系统获取和分析恶意组件来进一步规避检测。

乌克兰安全局在去年11月发布的报告中声称，自2014年以来，ACTINIUM组织已经对1500多个乌克兰政府机构进行了5000多次攻击。这些攻击者的目标包括：

窃取情报，包括访问受限的信息（与安全和国防部门、政府机构有关）；

信息和心理影响；

破坏信息系统。

另外，ACTINIUM是一组单独的活动，与之前的文章（微软称发现针对乌克兰的破坏性恶意软件）中描述的DEV-0586破坏性恶意软件活动没有明显关系。

关于该组织及其攻击技术与过程的更多细节分析请看：

https://www.microsoft.com/security/blog/2022/02/04/actinium-targets-ukrainian-organizations/