研究人员周三表示,俄罗斯国家黑客迅速利用微软Office的一个关键漏洞,入侵了六个以上国家的外交、海事和运输机构的设备。
研究人员表示,这个名为APT28、Fancy Bear、Sednit、Forest Blizzard和Sofacy等的黑客组织,在微软上月底发布紧急安全更新后不到48小时,就利用了编号为CVE-2026-21509的漏洞。该黑客组织成员对补丁进行逆向工程后,编写了一个高级漏洞利用程序,植入了两个前所未见的后门程序之一。
隐蔽性、速度和精准度
整个攻击活动旨在使终端安全防护无法检测到入侵行为。除了攻击手段新颖之外,这些漏洞利用程序和有效载荷都经过加密并在内存中运行,使其恶意行为难以被发现。最初的感染源来自多个国家此前被入侵的政府账户,目标邮箱持有者很可能对这些账户并不陌生。命令与控制通道托管在合法的云服务中,而这些服务通常位于敏感网络的白名单中。
“CVE-2026-21509的使用表明,与国家结盟的攻击者能够多么迅速地将新漏洞武器化,从而缩短防御者修补关键系统的时间窗口,”安全公司Trellix的研究人员写道。“此次攻击活动的模块化感染链——从最初的网络钓鱼到内存后门再到二级植入——都经过精心设计,旨在利用可信渠道(HTTPS连接到云服务、合法的电子邮件流)和无文件技术来隐藏自身。”
这场持续72小时的定向网络钓鱼攻击活动始于1月28日,至少向九个国家的企业和部门发送了29封不同的诱饵邮件,这些国家主要位于东欧。Trellix公布了其中八个国家的名称:波兰、斯洛文尼亚、土耳其、希腊、阿联酋、乌克兰、罗马尼亚和玻利维亚。攻击目标包括国防部(40%)、运输/物流运营商(35%)和外交机构(25%)。
感染链最终导致了BeardShell或NotDoor的安装,这是Trellix为这些新型后门程序所起的跟踪名称。BeardShell使该黑客组织能够全面侦察系统,并通过向Windows svchost.exe注入进程实现持久化,并为横向移动到受感染网络内的其他系统打开了方便之门。该植入程序通过动态加载的.NET程序集执行,除了驻留代码注入产生的内存痕迹外,不会在磁盘上留下任何取证痕迹。
NotDoor以VBA宏的形式出现,仅在漏洞利用链禁用Outlook的宏安全控制后才会安装。安装完成后,该植入程序会监控电子邮件文件夹,包括收件箱、草稿箱、垃圾邮件和RSS源。它会将邮件打包成Windows .msg 文件,然后发送到攻击者控制的、在云服务filen.io上设置的帐户。为了绕过旨在限制访问机密电报和其他敏感文档的高权限帐户的安全控制,该宏会使用自定义的“AlreadyForwarded”属性处理电子邮件,并将“DeleteAfterSubmit”设置为true,从而从“已发送邮件”文件夹中清除已转发的邮件。
根据技术指标和攻击目标的选择,Trellix以“高度确信”的把握将此次攻击归咎于APT28。乌克兰CERT-UA也将此次攻击归咎于UAC-0001,该跟踪名称与APT28相符。2024年,APT28曾利用Windows打印后台处理程序漏洞部署“GooseEgg”恶意软件。
Trellix写道:“APT28在网络间谍和影响力行动方面有着悠久的历史。此次攻击活动中的手法——多阶段恶意软件、广泛的混淆技术、滥用云服务以及针对电子邮件系统的持久化攻击——反映出攻击者资源充足、技术高超,这与APT28的特征相符。其工具集和技术也与APT28的特征相吻合。”
Trellix提供了一份全面的指标清单,企业可以利用这些指标来确定自己是否成为了攻击目标。