俄罗斯黑客开始使用一种新的代码执行技术，该技术依赖于Microsoft PowerPoint演示文稿中的鼠标移动来触发恶意PowerShell脚本，从而传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效载荷，从而进行更隐蔽的攻击。攻击者使用PowerPoint(.PPT)文件引诱目标，该文件据称与经济合作与发展组织(OECD)相关。PPT文件包含一个超链接，作为启动恶意PowerShell脚本的触发器。当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时，会激活恶意PowerShell脚本从Microsoft OneDrive帐户下载JPEG文件。

乌克兰 CERT-UA 计算机应急响应组织披露了一项网络钓鱼攻击活动。电子邮件名为“Кібератака”（在乌克兰语中意为网络攻击），伪装成来自 CERT-UA 的安全通知，并带有一个 RAR 存档文件“UkrScanner.rar”附件。当打开该文件时，会部署一个名为 CredoMap_v2 的恶意软件。CERT-UA将此活动归因于俄罗斯APT28组织。

Google TAG发布了东欧网络活动的更新报告，表示越来越多的攻击者利用战争作为网络钓鱼和恶意软件活动的诱饵，并且更多地针对关键基础设施，包括石油和天然气、电信和制造业。 报告中披露：俄罗斯APT28组织（又名Fancy Bear）使用新的恶意软件变种针对乌克兰的用户；俄罗斯Turla组织针对波罗的海国家的国防和网络安全组织开展活动；俄罗斯COLDRIVER组织（又名Callisto）使用 Gmail 帐户发送凭据网络钓鱼电子邮件，目标包括政府和国防官员、政治家、非政府组织和智囊团以及记者；白俄罗斯Ghostwriter组织通过凭据网络钓鱼攻击Gmail帐户。

7月1日，美国和英国网络安全机构发布了一份联合声明，题为《俄罗斯GRU发起全球暴力行动，破坏企业和云环境》，报告称俄军总参谋部情报总局（GRU）从2019年以来对全球数百个公私部门为目标发动了网络攻击。美国国家安全局（NSA）、网络安全和基础设施安全局（CISA）、联邦调查局（FBI）和英国国家网络安全中心(NCSC)将此次网络攻击归因于俄罗斯政府，特别是与GRU有关的APT28（又名Fancy Bear、Strontium）网络间谍组织。俄罗斯通过蛮力攻击，尝试访问包括美国和欧洲在内的大量政府和军队、政治顾问和政党、国防承包商、能源公司、物流公司、智库、大学、律师事务所等机构，目标是获取有效凭据，以进一步访问受害者网络。

研究人员发现了一种名为 SkinnyBoy 的新恶意软件，SkinnyBoy的功能是窃取受感染系统的信息， 并从C2 服务器检索下一个有效负载。俄罗斯黑客组织 APT28 在针对军事和政府机构发起的鱼叉式网络钓鱼活动中使用了SkinnyBoy，攻击的主要目标为外交部、大使馆、国防工业和军事 。研究人员表示，APT28 可能在 3 月初就发起了这项网络钓鱼活动，多名受害者集中在欧盟，该活动也可能影响了美国的组织。SkinnyBoy 通过带有宏的 Microsoft Word 文档传播，该宏提取充当恶意软件下载程序的 DLL 文件。诱饵是一条伪造的邀请信息，邀请受害者参加 7 月底在西班牙举行的国际科学活动。打开邀请会触发感染链，首先提取一个 DLL 来检索 SkinnyBoy dropper (tpd1.exe)，这是一个下载主要负载的恶意文件。进入系统后，dropper 建立持久性并移动以提取下一个有效负载，该有效负载以 Base64 格式编码并附加为可执行文件的覆盖层，如下图所示：

近日，研究人员捕获两例哈萨克斯坦地区的上传样本，样本以哈萨克斯坦Kazchrome企业信息为诱饵，Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏，一旦宏被启用后，恶意宏将释放执行远控木马到计算机执行，经分析溯源发现，释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。奇幻熊组织，业界对其有各种别名：APT28、Sednit、Pawn Storm、Sofacy Group、STRONTIUM，主要针对高加索和北约开展网络攻击活动，近期其目标越来越多出现在中亚地区，主要攻击领域为对政府军事和安全组织。

近日，奇安信红雨滴团队在日常高价值威胁挖掘过程中，捕获两例哈萨克斯坦地区上传样本，样本以哈萨克斯坦Kazchrome企业信息为诱饵，Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏，一旦宏被启用后，恶意宏将释放执行远控木马到计算机执行，经分析溯源发现，释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。 奇幻熊组织，业界对其有各种别名：APT28、Sednit、Pawn Storm、Sofacy Group、STRONTIUM，主要针对高加索和北约开展网络攻击活动，近期其目标越来越多出现在中亚地区，主要攻击领域为对政府军事和安全组织。

法国国家网络安全局（ANSSI）将过去四年多起法国IT提供商遭到入侵的事件与Sandworm（APT28）黑客组织联系在一起。在受感染的系统上，ANSSI发现以webshell形式存在后门，该后门落在暴露于Internet的几台Centreon服务器上。该后门被标识为PAS Webshell，版本号3.1.4。在同一台服务器上，ANSSI发现了另一个与ESET描述的后门相同的后门，并命名为Exaramel。ANSSI无法确定服务器是如何被入侵的。因此，目前尚不清楚攻击者是利用了Centreon软件的漏洞，还是受害者遭受供应链攻击。受这场大型攻击活动影响最大的是信息技术提供商，尤其是网络托管提供商。

2020年，Pawn Storm组织通过Google云端硬盘传播IMAP远程访问木马（RAT）来攻击目标，例如外交部，大使馆，国防工业和军事部门。RAT也被发送到更广泛的目标网络，包括世界各地的各个行业。该组织还进行了广泛的暴力攻击，以窃取凭据，例如公司电子邮件帐户的凭据。Pawn Storm甚至在其IMAP RAT恶意软件中对军方和政府相关的电子邮件地址进行了硬编码，以与受害者的计算机进行通信。最近，挪威当局宣布Pawn Storm通过蛮力攻击入侵了挪威议会 。仅通过样本，很难将其归因于Pawn Storm。但是，基于对Pawn Storm组织活动的长期监控，我们认为本次攻击活动的归因是Pawn Storm组织。

研究人员在11月份发现了Go版本的Zebrocy恶意软件，Zebrocy是通过COVID-19网络钓鱼诱饵进行分发的。Zebrocy是APT28组织所使用的恶意软件，主要用于对付从事外交事务的政府和商业组织。攻击者似乎已从Delphi版本的Zebrocy切换到11月中旬使用的Go版本。钓鱼诱饵包括有关国药国际公司的文件，国药国际公司是一家正在生产COVID-19疫苗的制药公司，目前正在进行三期临床试验，还有民航总局的假冒撤离信。国药国际有限公司是一家中国药品制造商。它是中国目前正在研发COVID-19疫苗的公司之一。他们的疫苗目前正在接受第三阶段的临床试验，但已经提供给近一百万人。