文章总结: APT28利用Office零日漏洞CVE-2026-21509发起Neusploit行动,攻击乌欧目标。通过鱼叉邮件投放RTF文件,利用MiniDoor窃取邮件或部署CovenantGrunt后门,并结合COM劫持与隐写术绕过检测。建议立即修补,监控Filen流量并加强终端防护。 综合评分: 90 文章分类: 威胁情报,漏洞分析,恶意软件,应急响应,办公安全
实现持久化,设置注册表键以加载恶意DLL。同时创建一个名为“OneDriveHealth”的计划任务,使用schtasks.exe重启explorer.exe触发劫持。</p>
<p>壳代码执行:EhStoreShell.dll在explorer.exe中加载,检查沙箱环境(通过Sleep API时间差>2.9秒检测)。然后从SplashScreen.png中使用最低有效位(LSB)隐写术提取壳代码。</p>
<p>最终负载:壳代码加载.NET程序集,部署Covenant Grunt植入物,这是一个基于.NET的命令与控制(C2)代理。</p>
<p>Covenant Grunt使用Filen云存储API(UUID: fe644d8c-2601-46ea-bf7d-3db110aa08d4)作为C2桥梁,与APT28之前的“Phantom Net Voxel”行动类似。</p>
<p>这允许攻击者通过合法云服务路由流量,规避检测。回避技术与基础设施APT28在“Neusploit”中采用多种回避手段:服务器端过滤:仅向特定区域和User-Agent的请求提供DLL。</p>
<p>字符串混淆:使用单字节XOR(0x3a)或滚动XOR密钥。</p>
<p>API解析:EhStoreShell.dll使用DJB2哈希动态解析API。</p>
<p>隐写与互斥:壳代码隐藏在PNG中,互斥体防止多实例。</p>
<p>基础设施:域名如freefoodaid[.]com和wellnesscaremed[.]com,同日注册并使用,显示快速循环。</p>
<p>这些技术与APT28的TTP一致,包括MITRE ATT&CK中的T1566.001(鱼叉附件)、T1203(客户端执行利用)和T1546.015(COM劫持)。</p>
<p>影响与受害者“Neusploit”针对乌克兰中央政府机构、欧盟成员国组织,焦点是情报窃取。CERT-UA警告称,由于更新惰性和用户抵抗,攻击可能持续。</p>
<p>CISA已将CVE-2026-21509添加到已知利用漏洞目录,要求联邦机构在2月16日前修补。</p>
<p>潜在影响包括数据泄露、持久访问和进一步横向移动。X平台上的讨论显示,安全社区迅速响应,如用户@RigneySec</p>
<p>和@evanderburg</p>
<p>分享了The Register的报道,强调漏洞从披露到利用仅几天。</p>
<p>防御策略立即修补:应用Microsoft补丁,覆盖Office 2016、2019、LTSC 2021/2024和Microsoft 365。</p>
<p>监控与阻挡:监视Filen相关流量,或直接阻挡。启用沙箱检测异常文件行为。</p>
<p>用户教育:警惕乌克兰或欧盟主题的附件,使用宏禁用设置。</p>
<p>高级防护:部署EDR工具检测COM劫持、隐写负载和异常Outlook活动。定期审计注册表和计划任务。</p>
<p>情报共享:参考IOCs,如文件哈希(e.g., 95e59536455a089ced64f5af2539a449 for RTF)和域名(freefoodaid[.]com)。</p>
<p>zscaler.com</p>
<p>“Operation Neusploit”突显了零日漏洞的快速武器化,以及国家行为者对供应链和办公软件的持续兴趣。企业应优先考虑补丁管理和威胁狩猎,以缓解此类风险。</p>
<hr />
<p><strong>免责声明:</strong></p>
<blockquote>
<p>本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。</p>
<p>任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。</p>
<p>本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的<strong>联系我</strong>。</p>
</blockquote>
<p>本文转载自:Alfadi组织 萧瑶
萧瑶《APT28的“Neusploit”行动:俄罗斯黑客利用Microsoft Office零日漏洞展开间谍活动》</p> </div>
<div class=)
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论