研究人員於週三宣布,俄羅斯國家駭客迅速利用一個嚴重的 Microsoft Office 漏洞,滲透到十多個國家的外交、海事和交通組織的設備中。
這個駭客組織被稱為 APT28、Fancy Bear、Sednit、Forest Blizzard 和 Sofacy,利用識別為 CVE-2026-21509 的漏洞,在微軟上個月發布緊急安全更新不到 48 小時後,開發出高級漏洞攻擊部署兩個之前未見的後門植入。
隱蔽性、速度與精準性
這次行動精心設計以躲避端點保護系統的檢測。漏洞攻擊和有效負載都是在記憶體中加密和執行的,使其難以檢測。最初的感染來自先前被入侵的政府帳戶,這些帳戶對目標電子郵件接收者是可識別的。此外,指揮和控制渠道通過合法雲服務運行,這些服務通常在敏感網絡中被允許。
據 Trellix 的研究人員表示,這一事件凸顯了國家背景行動者如何迅速將新漏洞武器化,縮短了防禦者修補關鍵系統的時間。他們指出,"這場運動的模塊化感染鏈——從最初的釣魚到記憶體後門再到次要植入——經過精心設計,利用受信任的渠道(HTTPS 到雲服務,合法電子郵件流程)和無檔技術來隱藏普通。"
這場從 1 月 28 日開始的 72 小時魚叉式釣魚活動散播了至少 29 種不同的電子郵件誘餌,目標是九個國家的組織,主要在東歐。Trellix 確認了八個具體國家:波蘭、斯洛維尼亞、土耳其、希臘、阿聯酋、烏克蘭、羅馬尼亞和玻利維亞。受影響的組織包括國防部(40%)、交通/物流運營商(35%)和外交機構(25%)。