详细内容或原文请订阅后点击阅览
与俄罗斯有关的 APT28 攻击者已经滥用新的 Microsoft Office 零日漏洞
乌克兰 CERT 表示,该漏洞在几天内就从披露变成了主动利用。与俄罗斯相关的攻击者已经在利用微软最新的 Office 零日漏洞,乌克兰国家网络防御团队警告称,该漏洞正被用于针对该国境内的政府机构和欧盟各地的组织。
来源:The Register _恶意软件与俄罗斯有关的攻击者已经在利用微软最新的 Office 零日漏洞,乌克兰国家网络防御团队警告说,同样的漏洞也被用来针对该国境内的政府机构和欧盟各地的组织。
在周日发布的警报中,CERT-UA 表示该活动是由 UAC-0001(更广为人知的名称为“APT28”或“Fancy Bear”)驱动的,并取决于 CVE-2026-21509,这是 Microsoft Office 中的一个安全功能绕过漏洞,微软上周披露了该漏洞,并警告攻击者已经在野外利用该漏洞。
根据 CERT-UA 的说法,在微软就该缺陷发出警报几天后,第一个武器化文档就出现了。一份名为“Consultation_Topics_Ukraine(Final).doc”的文件于 1 月 29 日公开发布,主题围绕欧盟关于乌克兰的讨论。文件元数据显示它是在 1 月 27 日(微软发布该缺陷详细信息的第二天)创建的,这个周转时间表明漏洞利用链已经准备好并正在等待。
同一天,乌克兰事件响应人员收到警报,称有一场假冒乌克兰水文气象中心官方信函的并行网络钓鱼活动。超过 60 个收件人(主要来自中央政府机构)收到了带有恶意 DOC 附件的电子邮件。在 Office 中打开该文件会悄悄启动与外部服务器的 WebDAV 连接,下载快捷方式文件,并将其用作进一步恶意软件的启动板。
从那里,攻击者会放置一个伪装成合法 Windows 组件的 DLL,并将 shellcode 隐藏在看似无害的图像文件中。然后,他们通过 COM 劫持和重新启动 explorer.exe 的计划任务来建立持久性,确保重新加载恶意代码。大多数用户不会注意到什么异常,但攻击者现在有了可以返回的立足点。