全球 - 艾赫巴里通讯社
俄罗斯国家黑客利用微软Office紧急补丁,入侵全球实体
国家支持的网络战速度和复杂性不断升级,一个臭名昭著的俄罗斯支持的黑客组织,广为人知的APT28或Fancy Bear,毫不迟疑地利用了微软Office的一个关键漏洞。上个月,在微软发布紧急、非计划的安全更新后不到48小时,这些威胁行为者将编号为CVE-2026-21509的漏洞武器化,发起了一场高度针对性的攻击。这项大胆的行动成功地入侵了至少九个国家(主要在东欧)的外交、海事和运输组织内的设备,这凸显了防御者修补关键系统的时间窗口正在不断缩小。
Trellix的安全研究人员公布了这次快速利用的详细信息,强调了该组织在两天内对微软补丁进行逆向工程并开发高级漏洞利用程序的能力。这些漏洞利用程序随后安装了两个新颖的、以前从未见过的后门植入程序,分别命名为BeardShell和NotDoor。整个攻击行动都是为隐秘性精心设计的,采用了使传统端点保护措施几乎无法检测到入侵的技术。这包括加密漏洞利用程序和有效载荷,使其仅在内存中运行,并利用看似合法的通道进行命令和控制,从而使其恶意意图极难被发现。
另请阅读
这次复杂入侵的初始载体通常源自不同国家先前受损的政府账户,这表明攻击者利用了现有漏洞或凭据,这些凭据可能为目标电子邮件收件人所熟悉。此外,命令和控制基础设施托管在合法的云服务中,这些服务通常在敏感网络中被列入白名单,从而允许恶意流量与常规网络活动无缝融合。Trellix研究人员指出,这种对可信通道的战略选择,结合无文件技术,使攻击者能够“隐藏在众目睽睽之下”。
为期72小时的鱼叉式网络钓鱼行动于1月28日开始,向九个国家(主要集中在东欧)的组织发送了至少29个不同的电子邮件诱饵。Trellix特别提到了其中八个国家:波兰、斯洛文尼亚、土耳其、希腊、阿联酋、乌克兰、罗马尼亚和玻利维亚。主要目标是国防部(占攻击的40%)、运输/物流运营商(35%)和外交实体(25%)。这种目标设定与APT28等国家支持的行动者通常相关的地缘政治目标完全一致,这些行动者经常对国家安全和国际关系至关重要的实体进行网络间谍活动。
感染链的成功导致了BeardShell或NotDoor的部署。BeardShell是一个强大的后门,为攻击者提供了广泛的系统侦察能力,通过将进程注入Windows svchost.exe实现持久性,并为在受感染网络内横向移动提供了关键立足点。其执行依赖于动态加载的.NET程序集,这是一种旨在在磁盘上留下最少取证痕迹的技术,进一步复杂了安全团队的检测和分析。这种内存操作是高级持续威胁(APT)试图规避传统安全工具的标志。
NotDoor,第二个后门,以VBA宏的形式出现。它仅在漏洞利用链成功禁用Outlook的宏安全控制后才被安装——这是一个关键步骤,表明攻击者对电子邮件客户端漏洞有深刻理解。一旦激活,NotDoor会仔细监控电子邮件文件夹,包括收件箱、草稿、垃圾邮件和RSS源。然后它将消息捆绑成Windows .msg文件,随后将其泄露到托管在云服务filen.io上的攻击者控制账户。为了击败旨在限制对机密电报和其他敏感文档访问的高权限账户上的安全控制,宏使用了一个自定义的“AlreadyForwarded”属性,并将“DeleteAfterSubmit”设置为true,以有效地从已发送邮件文件夹中清除转发的邮件,从而抹去泄露痕迹。
Trellix根据技术指标和选定的目标,以“高度自信”将此次行动归因于APT28。乌克兰CERT-UA也独立地将这些攻击归因于UAC-0001,这是与APT28对应的另一个追踪名称。APT28,也被称为Fancy Bear、Sednit、Forest Blizzard和Sofacy,在网络间谍和影响行动方面有着良好的记录,通常与俄罗斯国家利益保持一致。他们的作案手法通常涉及复杂的、多阶段的恶意软件、广泛的混淆、滥用合法的云服务以及持续针对电子邮件系统以实现其目标。
相关新闻
本次行动中使用的技术——以其快速将零日(或接近零日)漏洞武器化、使用新型植入程序、无文件执行以及利用可信通道为特征——反映了一个资源丰富、技术先进的对手的能力。此事件对全球组织来说是一个重要的提醒,要优先进行及时修补,增强其威胁检测能力以识别内存中和无文件攻击,并加强对复杂鱼叉式网络钓鱼尝试的防御。Trellix等网络安全公司正在不断提供更新的妥协指标(IOC),以帮助组织识别和减轻来自这个持续演变对手的潜在威胁。
