【安全资讯】俄罗斯黑客利用微软Office新近修复漏洞发动攻击

概要：

近期，乌克兰计算机应急响应小组（CERT-UA）发布警告，证实与俄罗斯有关的国家级威胁组织APT28正在积极利用微软Office软件中新近修补的零日漏洞CVE-2026-21509，对乌克兰及欧盟相关机构发动网络攻击。此次攻击利用精心伪装的恶意文档，通过复杂的感染链部署后门框架，凸显了关键软件漏洞被迅速武器化所带来的严重安全威胁。

主要内容：

攻击始于精心设计的钓鱼邮件。APT28组织冒充乌克兰水文气象中心等官方机构，向超过60个政府相关地址发送邮件，附件为利用CVE-2026-21509漏洞的恶意DOC文档。这些文档的主题涉及欧盟在乌克兰的协商会议，具有很强的欺骗性。值得注意的是，恶意文档的元数据显示其创建于微软发布紧急补丁之后，表明攻击者行动迅速，意在利用补丁部署的时间差。

技术层面，攻击链设计精巧。用户打开恶意文档后，会触发一个基于WebDAV的下载链。该链条通过COM劫持技术，加载一个恶意的DLL文件（EhStoreShell.dll）。此DLL随后执行隐藏在图片文件（SplashScreen.png）中的shellcode，并创建一个计划任务（OneDriveHealth）。计划任务会终止并重启explorer.exe进程，从而确保恶意DLL被加载执行。

最终，shellcode会在受感染计算机上部署名为COVENANT的开源命令与控制（C2）框架。APT28使用Filen（filen.io）云存储服务作为其C2服务器进行通信。调查还发现，攻击活动中使用的多个支持域名都在同一天注册，且攻击目标已扩展至欧盟多个组织，表明这是一场范围更广的持续性攻击活动。

此次事件影响重大，直接威胁乌克兰及欧盟政府机构的网络安全。CERT-UA建议受影响组织立即为Microsoft Office 2016至2024等多个版本应用安全更新，若无法及时修补，可采取基于注册表的缓解措施。微软此前表示，Defender的受保护视图能为来自互联网的Office文件提供额外防御层。