详细内容或原文请订阅后点击阅览
与俄罗斯有关的 APT28 使用 PRISMEX 以先进的策略渗透乌克兰及其盟国基础设施
APT28 利用 PRISMEX 恶意软件以乌克兰及其盟国为目标,利用秘密技术进行间谍活动和指挥与控制。与俄罗斯有关的组织 APT28(又名 UAC-0001、又名 Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta 和 STRONTIUM)正在针对乌克兰及其盟友开展鱼叉式网络钓鱼活动,部署名为 PRISMEX 的新恶意软件套件。该活动自 2025 年 9 月开始活跃,使用先进的隐形技术,例如隐写术和 [...]
来源:Security Affairs _恶意软件与俄罗斯有关的 APT28 使用 PRISMEX 以先进的策略渗透乌克兰及其盟国基础设施
APT28 利用 PRISMEX 恶意软件以乌克兰及其盟国为目标,利用秘密技术进行间谍活动和指挥与控制。
与俄罗斯相关的组织 APT28(又名 UAC-0001、Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta 和 STRONTIUM)正在针对乌克兰及其盟友开展鱼叉式网络钓鱼活动,部署名为 PRISMEX 的新恶意软件套件。该活动自 2025 年 9 月开始活跃,使用隐写术和 COM 劫持等先进的隐形技术,并以防御系统和援助基础设施为目标,以支持长期的间谍活动。
俄罗斯网络间谍组织仍然具有高度侵略性,迅速将 CVE-2026-21509 等新披露的缺陷武器化,以瞄准中欧和东欧的政府、军队和关键基础设施。其最新活动使用 PRISMEX 恶意软件套件,结合了基于 Covenant 框架的植入程序、加载程序和植入程序,以实现隐秘的无文件攻击和加密的命令和控制。
这次行动展示了先进的准备工作以及与过去活动的联系,重点关注乌克兰的国防供应链,包括盟友、运输和援助网络。研究人员认为,这标志着 NotDoor 生态系统的演变,扩大了快速利用和长期间谍活动的能力。
攻击链始于以军事训练、天气警报或武器走私为主题的鱼叉式网络钓鱼电子邮件。打开附加 RTF 文件的受害者会触发 CVE-2026-21509 的利用,该漏洞绕过安全控制并强制系统连接到攻击者控制的 WebDAV 服务器。这会自动检索并执行恶意 LNK 文件,无需进一步的用户交互。
然后,LNK 文件可能会利用 CVE-2026-21513 绕过浏览器保护并静默执行代码,下载额外的有效负载。这表明可能存在一个专为隐蔽性和可靠性而设计的两阶段攻击链。