【安全资讯】俄罗斯APT28组织利用微软Office零日漏洞攻击欧洲海事与运输机构

概要：

近期，网络安全研究人员披露了一起由俄罗斯背景黑客组织发起的复杂网络间谍活动。该活动利用微软Office软件中新披露的零日漏洞，针对欧洲多国的海事、运输及外交实体进行精准网络攻击，凸显了国家级黑客组织武器化新漏洞的惊人速度及其对关键基础设施构成的持续威胁。

主要内容：

网络安全公司Trellix的研究报告指出，与俄罗斯政府有关联的APT28（又称Fancy Bear）黑客组织，近期发起了一场为期72小时的集中式鱼叉式钓鱼攻击。攻击者向至少九个东欧国家发送了29封不同的恶意邮件，目标涵盖波兰、斯洛文尼亚、土耳其、希腊和阿联酋等国的海事、运输及外交机构。

攻击的核心是利用了微软于1月下旬披露的Office漏洞（CVE-2026-21509）。APT28在漏洞公开后迅速将其武器化，制作了携带恶意Office文档的钓鱼邮件。这些邮件无需用户交互即可自动触发漏洞利用，技术门槛高且隐蔽性强。邮件发件人地址被伪装成来自罗马尼亚、玻利维亚和乌克兰等国被攻陷的政府邮箱账户。

攻击者使用了极具地缘政治色彩的诱饵主题，如武器走私警报、北约与欧盟外交邀请函、军事训练通知和紧急天气公报等。附件文档精心仿冒了合法的政府公文格式，可能基于此前窃取的真实材料制作。一旦文档被打开，便会部署包括用于窃取邮件数据的MiniDoor恶意软件和PixyNetLoader在内的系列工具，最终在受感染系统上安装Covenant后门。

为隐藏恶意活动，APT28还广泛利用了合法的云服务。报告指出，该组织使用Filen云存储平台作为命令与控制（C&C）通道，使得恶意流量能够混杂在正常的互联网流量中，难以被检测。自2022年俄乌冲突全面升级以来，APT28加强了对乌克兰及其欧洲盟友的网络行动，并有一贯迅速利用新披露Office漏洞进行实战攻击的历史。此次事件再次表明，防御者修补关键系统的窗口期正在被急剧压缩。