【安全资讯】俄罗斯APT28组织利用微软Office新漏洞攻击乌克兰及欧盟政府机构

概要：

近期，俄罗斯背景的黑客组织APT28利用微软Office软件中新近修补的高危漏洞，对乌克兰及多个欧盟国家的政府机构发起了一系列网络攻击。此次攻击事件凸显了国家级黑客组织如何迅速将公开披露的漏洞武器化，用于针对地缘政治对手的间谍活动，对关键政府部门的信息安全构成了严重威胁。

主要内容：

乌克兰计算机应急响应小组CERT-UA报告称，在微软于1月初披露编号为CVE-2026-21509的漏洞后，攻击者随即开始利用该漏洞。攻击活动被归因于俄罗斯军事情报支持的APT28组织（又名Fancy Bear）。攻击者制作了伪装成乌克兰水文气象中心信函的恶意Office文档，并通过钓鱼邮件发送给超过60个邮箱地址，其中大部分属于政府机构。

打开这些恶意文档会触发Covenant恶意软件的植入。Covenant是一个开源的命令与控制框架，本用于合法的红队测试，但正越来越多地被攻击者滥用。网络安全公司Zscaler的研究人员补充指出，除了乌克兰，他们在斯洛伐克和罗马尼亚也观察到了APT28利用同一漏洞的攻击活动，钓鱼诱饵使用了英语和当地语言。

攻击链条存在两种变体。第一种变体会安装MiniDoor恶意软件，该软件旨在窃取受害者的电子邮件并外泄至攻击者控制的服务器。MiniDoor是此前与APT28行动相关的NotDoor后门程序的简化变体。第二种变体则安装PixyNetLoader，最终在受感染系统上部署Covenant植入程序。

微软已将此次攻击利用的漏洞评估为高危级别，并发布了补丁。美国网络安全和基础设施安全局也已将其列入已知被利用漏洞目录。CERT-UA警告，只要用户延迟安装安全更新，利用此漏洞的攻击就可能会增加。自俄乌冲突全面升级以来，APT28加强了对乌克兰及其欧洲盟友的网络攻击活动，此次事件是其持续行动的最新例证。