文章总结： APT28利用微软Office漏洞CVE-2026-21509对欧洲多国实施间谍攻击，投放MiniDoor邮件窃取程序及COVENANT植入程序，采用COM劫持与隐写术规避检测。建议及时更新补丁并防范不明文档。 综合评分： 86 文章分类： 威胁情报,漏洞分析,恶意软件,办公安全,漏洞预警

去年，乌克兰计算机应急响应小组 (CERT-UA) 和 Sekoia都曾详细描述过这种攻击链的变体。

在这些攻击中，带有地缘政治色彩的钓鱼邮件，内容涉及跨国武器走私、军事训练计划和气象紧急公告，其中包含武器化的文档，这些文档一旦被打开就会利用 CVE-2026-21509 漏洞，触发恶意代码的执行，而无需宏或用户交互。

这包括下载 Microsoft Shortcut (LNK) 和代号为 SimpleLoader 的 DLL，它们负责投放 NotDoor 或 COVENANT Grunt Beacon，然后 COVENANT Grunt Beacon 联系 filen[.]io 端点以提供 BEARDSHELL 后门。

Trellix表示：“整个攻击链的设计旨在增强弹性并规避检测，它利用加密载荷、合法的云服务进行C2通信、内存执行以及进程注入，以最大限度地减少取证痕迹。这种多层防御方法展现了APT28在企业环境中保持持久访问并规避检测方面不断精进的攻击技巧。”

原文来自: thehackernews.com

原文链接: https://thehackernews.com/2026/02/apt28-uses-microsoft-office-cve-2026.html

欢迎收藏并分享朋友圈，让五邑人网络更安全

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！

推荐文章

1

新永恒之蓝？微软SMBv3高危漏洞（CVE-2020-0796）分析复现

2

重大漏洞预警：ubuntu最新版本存在本地提权漏洞（已有EXP）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：邑安全 邑安科技 邑安科技《APT28 利用微软 Office 漏洞（CVE-2026-21509）实施间谍类恶意软件攻击》