2月1日烏克蘭電腦緊急應變團隊(CERT-UA)提出警告,1月底微軟緊急修補的Office零時差漏洞CVE-2026-21509,俄羅斯駭客組織APT28(別名Fancy Bear或Sofacy)已用於實際攻擊,後續有資安公司公布新的調查結果,並指出一旦使用者開啟文件,就會觸發漏洞,過程裡無須啟用巨集,或是引誘使用者互動。
資安公司Zscaler指出,他們自1月29日看到APT28積極利用CVE-2026-21509,駭客利用特製的RTF檔案,並規畫多階段感染鏈,於受害電腦植入後門程式,主要目標是中歐及東歐地區的用戶,包括烏克蘭、斯洛伐克,以及羅馬尼亞,駭客在誘餌文件當中,使用英語或當地語言來從事網路釣魚,過程裡使用以Outlook巨集打造的郵件竊取工具MiniDoor,以及透過惡意程式載入工具PixyNetLoader部署Covenant Grunt。Zscaler將這波攻擊命名為Operation Neusploit,他們與微軟聯手,持續監控相關活動。
值得留意的是,這些駭客利用伺服器過濾攻擊目標,僅有請求來自目標國家,以及HTTP標頭包含正確的使用者字串(User Agent),伺服器才會透過惡意DLL檔進行回應。
針對攻擊鏈的型態,Zscaler根據駭客使用的工具區分為兩種,其中一種是使用MiniDoor,另一種就是使用PixyNetLoader。MiniDoor是以C++打造的DLL檔案,主要用於竊取受害電腦存放的電子郵件。研究人員認為,MiniDoor可能是後門程式NotDoor的精簡版本,兩種惡意程式存在共通的功能,都可從受害電腦搜刮電子郵件並外洩,但不同的地方在於,MiniDoor並未具備NotDoor實作的後門命令。
對於MiniDoor具體的運作方式,它會在使用者開啟Outlook並觸發特定事件後,從收件匣、RSS新聞、垃圾郵件,以及草稿資料夾進行搜尋,並把每封信逐一複製成MSG檔案,然後將MSG檔作為附件,利用新郵件寄送到事先指定的攻擊者信箱。基本上,上述做法短時間會寄出大量信件,並在收信軟體留下大量寄信備份,對此,為了避免活動被發現,攻擊者設置特定規則,只要信件成功寄至攻擊者信箱,就會把寄件備份清除。
引發另一個攻擊鏈的惡意程式PixyNetLoader,此工具會在受害電腦下載惡意元件,並竄改Windows的組態配置,來啟動感染鏈,目的是長期控制受害電腦,並隱密地收集情報。駭客藉此在電腦植入hStoreShell.dll、竄改特定的Windows登錄檔挾持COM,以及建立名為OneDriveHealth的工作排程,駭客接著可透過上述DLL檔案存取圖檔SplashScreen.png,透過隱寫術啟動Shellcode,載入惡意程式框架Covenant Grunt,而這部分與CERT-UA公布的攻擊流程相同。
針對惡意程式框架Covenant Grunt,Zscaler指出與.NET開源C2框架Covenant有關,其中Grunt元件使用雲端儲存服務Filen的API,接收攻擊者的命令,而該框架的使用,也是APT28活動的重要特徵。由於使用合法雲端服務建立連線,相關流量會被視為正常,而能隱匿相關活動。
熱門新聞
2026-03-02
2026-03-02
2026-03-02
2026-03-02
2026-03-02
2026-03-03
2026-03-02