【安全资讯】Pawn Storm APT组织部署PRISMEX恶意软件套件，瞄准乌克兰国防供应链及北约盟友

概要：

近期，与俄罗斯结盟的知名高级持续性威胁（APT）组织Pawn Storm（又称APT28、Fancy Bear）活动加剧，部署了一套名为PRISMEX的新型恶意软件套件。该组织自2025年9月起，针对乌克兰及其北约盟友（包括波兰、罗马尼亚等国）的国防供应链、气象数据提供商及关键运输枢纽发起了一系列复杂攻击。攻击中利用了包括Windows零日漏洞（CVE-2026-21513）在内的多个漏洞，并可能将两个漏洞串联进行两阶段利用，显示出该组织强大的漏洞武器化能力和对关键基础设施的持续威胁。

主要内容：

PRISMEX恶意软件套件由多个组件构成，包括投递器（PrismexDrop）、隐写术加载器（PrismexLoader）和基于Covenant C2框架的植入体（PrismexStager）。其攻击链始于鱼叉式钓鱼邮件，附件中的恶意RTF文档利用Microsoft Office OLE机制中的安全功能绕过漏洞（CVE-2026-21509），在用户打开文档后，无需进一步交互即可强制系统连接攻击者控制的WebDAV服务器并执行远程.lnk文件。

攻击的核心技术在于其独特的规避手段。PrismexLoader组件采用了一种名为“Bit Plane Round Robin”的自定义隐写算法，将有效载荷分散隐藏在整个PNG图像文件中，而非传统的连续最低有效位（LSB）方式，极大地增加了检测难度。最终载荷PrismexStager则滥用合法的端到端加密云存储服务Filen.io进行命令与控制（C&C）通信，使恶意流量混杂在正常加密网络流量中，有效绕过基于信誉的过滤和防火墙规则。

此次攻击活动具有明确的战略意图，旨在破坏乌克兰的作战规划和后勤支援能力。攻击目标不仅包括乌克兰的中央行政机关、国防和应急服务部门，还延伸至作为西方军事援助主要过境枢纽的波兰铁路物流，以及罗马尼亚、斯洛文尼亚等国的海事和运输部门。分析表明，攻击者可能不仅进行间谍活动，还具备数据擦除等破坏性能力，对关键基础设施构成了实质性威胁。