【安全资讯】APT28黑客组织部署定制版Covenant开源工具进行长期间谍活动

概要：

网络安全威胁持续演变，国家背景的黑客组织正采用更隐蔽、更持久的手段进行网络间谍活动。近日，网络安全公司ESET的研究人员发现，与俄罗斯有关的APT28黑客组织正在使用一种定制化的开源后渗透框架Covenant，结合其自主研发的恶意软件，对乌克兰政府及军事目标进行长期监控，此举凸显了国家级网络攻击的复杂性和持续性。

主要内容：

自2024年4月起，APT28（亦被称为Fancy Bear、Forest Blizzard）开始在其攻击活动中使用两个名为BeardShell和Covenant的植入程序。这种双植入策略旨在实现对乌克兰军事人员的长期监视。攻击者通过包含恶意DOC文件的钓鱼邮件，利用Microsoft Office中的CVE-2026-21509漏洞，成功入侵了乌克兰中央执行机构的系统。

技术分析显示，BeardShell是一个现代植入程序，它巧妙地利用了合法的云存储服务Icedrive进行命令与控制（C2）通信。该恶意软件能够在.NET运行时环境中执行PowerShell命令，并与另一个名为SlimAgent的键盘记录器协同工作。值得注意的是，BeardShell采用了一种独特的混淆技术，该技术曾在APT28于2010年代使用的网络穿透工具Xtunnel中出现过。

APT28对开源的Covenant .NET后渗透框架进行了深度定制，使其成为主要的间谍植入工具。定制内容包括：创建与主机特征绑定的确定性植入标识符、修改执行流程以规避行为检测、以及引入新的基于云的通信协议。自2025年7月起，攻击者转而使用Filen云服务提供商来支持Covenant的C2通信。

ESET指出，Covenant现已成为APT28的主要间谍植入程序，而BeardShell则作为备用工具。这一转变表明，自2023年以来，该组织的开发者持续对Covenant进行修改和实验，以建立其核心地位。技术团队在2024年重新活跃，赋予了该组织新的长期网络间谍能力，其恶意软件与2010年代工具的相似性也揭示了其开发团队的延续性。