2026年1月底,一场针对欧洲多国关键机构的网络渗透行动悄然展开。俄罗斯背景的APT组织APT28(又称“奇幻熊”)在微软Office零日漏洞(CVE-2026-21509)披露后不足24小时内完成武器化,并迅速对波兰、乌克兰、希腊等9个国家的国防与交通部门发起定向攻击。
此次行动的隐蔽性尤为突出。攻击者未部署传统C2服务器,而是滥用合法云存储服务filen.io作为指挥通道,使恶意通信掩藏在正常文件流量之中。同时植入两类核心恶意组件——Outlook窃密后门“NotDoor”与无文件内存木马“CovenantGrunt”,实现长期潜伏与深度控制。
结合Trellix技术分析与CERT-UA溯源报告,可以还原出这场“快速0day利用+云端隐蔽C2”攻击的完整链条。
本次攻击利用的CVE-2026-21509属于Office安全机制绕过漏洞。受害者仅需打开恶意DOC或RTF文档,即可触发嵌入式攻击逻辑,无需启用宏,极大降低了入侵门槛。
攻击者在短时间内发送多封定向邮件,内容围绕四类敏感主题:
武器走私预警(占比最高)
军事培训邀请
北约政策讨论文件
气象紧急通告
这些邮件伪装程度较高,使用官方信笺、双语格式及机构印章增强可信度。尽管部分邮件存在拼写细节错误,但整体足以迷惑目标人员。
恶意文档内嵌OLE对象,通过WebDAV协议自动下载恶意LNK文件与加载器DLL。整个过程对用户透明,几乎无交互痕迹。
值得注意的是,分发域名多为被劫持站点或临时注册域名,增加了检测难度。
加载器落地后会部署两条攻击链,分别用于信息窃取与远程控制。
该后门通过修改注册表降低宏安全等级,并确保开机自动加载。其功能包括:
监控邮箱多个文件夹
实时捕获新邮件
自动转发完整邮件(含附件)
删除已发送记录并添加转发标记
这意味着敏感军事或外交信息可能在无感知状态下被持续外泄。
另一条攻击链采用内存执行方式,不在磁盘落地文件。其核心特征包括:
从伪装图片中提取加密shellcode
反射加载至explorer.exe执行
通过filen.io API建立加密通信通道
使用RSA与AES组合加密数据
该模块支持系统侦察、进程注入与横向移动,为攻击者提供完整控制能力。
为提升生存能力,攻击链中加入多种反分析与持久化手段。
加载器执行后短暂休眠,并验证时间精度以识别虚拟环境。同时确认运行进程是否合法,以降低暴露概率。
恶意代码通过不同XOR算法加密,包括单字节与旋转式加密方式,使静态分析复杂化。
利用COM劫持篡改特定CLSID
创建临时计划任务触发explorer重启
激活恶意DLL后清除任务痕迹
CERT-UA将本次行动归因于APT28(UAC-0001)。其行为模式与以往行动高度一致:
快速将漏洞转化为攻击工具
偏好通过邮件文档实施初始渗透
滥用合法云平台作为通信渠道
代码结构与历史样本高度重合
整体体现出“成熟战术+隐蔽升级”的特点。
针对本次攻击模式,建议采取以下措施:
立即部署Office补丁,关闭高风险OLE执行机制
检查异常注册表与计划任务
审计与filen.io等云平台的异常通信
屏蔽已知恶意域名与IP
强化针对敏感主题邮件的安全意识培训
此次事件再次表明,国家级攻击者正在加快零日漏洞武器化速度,并广泛利用云服务掩盖通信行为。
随着攻击与防御节奏持续加快,仅依赖传统被动防御已难以应对。构建包含漏洞快速响应、威胁狩猎与情报共享的主动防御体系,将成为关键。
网络攻防已成为速度竞争。攻击者可在24小时内完成武器化,防御方必须更快完成修补与响应,才能降低风险窗口。
网站资讯
渠道合作
解决方案
更多服务
