文章总结： 本文分析了APT28利用Office零日漏洞CVE-2026-21509攻击欧洲军政目标的案例，该漏洞可绕过安全控制实现无警告执行。文章详细还原了攻击链，指出补丁滞后与社工精准是主要威胁，建议立即部署补丁、启用ASR规则并监控Office子进程异常行为，强调了补丁窗口期防御与人员意识的重要性。 综合评分： 88 文章分类： 漏洞分析,威胁情报,应急响应,终端安全

[技术深潜] APT28 用这个 Office 零日打穿欧洲军政目标

原创

丘驰 丘驰

极客零零七

2026年2月24日 18:01 加拿大

上篇说到 APT31 用 Gemini 策划攻击，有粉丝说：「AI 辅助攻击听起来很厉害，但我更想知道真实的攻击长什么样。」

这篇就来拆一个。

2026年2月，Google Threat Intelligence Group 披露：俄罗斯APT组织 APT28，利用 Microsoft Office 一个刚被修复的零日漏洞（CVE-2026-21509），对欧洲多个军事和政府机构发动了一场定向攻击。这个行动被命名为 Operation Neusploit，受害者分布在波兰、斯洛文尼亚、土耳其、希腊、阿联酋和乌克兰。

漏洞的 CVSS 评分是 7.8，微软在 2 月补丁日已经修复。

今天我们来把这条攻击链从头到尾拆一遍：漏洞是什么、为什么有效、APT28 怎么用它、防御方该怎么看。

APT28 是谁

先交代背景。

APT28 是俄罗斯 GRU（总参情报总局）下属的黑客组织，别名一堆：Fancy Bear、Forest Blizzard、STRONTIUM、Pawn Storm。活跃超过 15 年，打过美国大选、NATO 目标、欧洲政府，是公认的全球顶级威胁行为者之一。

他们的攻击有几个特点：

• 高度定向，不撒网，每次行动有明确的政治/军事目标
• 鱼叉式钓鱼是首选入口，邮件内容高度定制化，不会让你一眼看出是钓鱼
• 善用 0day 和 N-day，尤其偏爱 Office 系漏洞——因为目标（政府/军方人员）几乎人人在用 Word 和 Outlook

这次也不例外。

CVE-2026-21509 是什么漏洞

漏洞类型：Microsoft Office COM/OLE 安全控制绕过

要理解这个漏洞，先要知道 COM/OLE 是什么，以及 Office 的安全模型怎么工作。

COM/OLE 简介

COM（Component Object Model） 是 Windows 的核心技术之一，允许不同程序之间互相调用组件和功能。OLE（Object Linking and Embedding） 是 COM 的应用之一，就是你在 Word 里嵌入一个 Excel 表格、或者嵌入一个 PDF 附件时背后用的技术。

听起来很平常，但问题在于：OLE 对象可以嵌入可执行内容。

微软知道这个风险，所以在 Office 文件里加了一套安全控制机制，核心是两个：

1. Protected View（保护视图）：从互联网下载的 Office 文件默认在沙箱里打开，不能执行宏和 OLE 对象
2. Mark of the Web（MOTW）：Windows 给从互联网下载的文件打上标记，Office 读取这个标记来决定是否启用保护视图

CVE-2026-21509 的本质，是绕过了 COM/OLE 层面的某个安全控制检查，使得即便文件有 MOTW 标记，嵌入其中的恶意 OLE 对象也能在无需用户额外点击「启用内容」的情况下执行。

换句话说：你收到一封邮件，下载附件，双击打开，没有任何安全警告弹出，代码已经在跑了。

攻击链还原

结合已知信息，APT28 的这条攻击链大致如下：

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27

Step 1  目标侦察        └─ 收集目标邮箱、职务、近期公开活动信息   （可能借助OSINT+AI辅助，参考上篇APT31 的做法）
Step 2  鱼叉邮件投递        └─ 伪装成军事会议邀请 / 政府文件 / 同事邮件           附件：精心构造的 .docx / .xlsx 文件           特点：文件内容与目标工作高度相关，不触发警觉
Step 3  漏洞触发（CVE-2026-21509）        └─ 目标打开文件           ↓           Office 解析嵌入的 OLE 对象           ↓           CVE-2026-21509 绕过安全检查           ↓           无警告弹窗，直接执行恶意代码
Step 4  初始载荷执行        └─ 通常是一个轻量级的 Dropper / Stager           功能：建立持久化 + 联系 C2 服务器           特点：流量混入正常 HTTPS，C2 域名伪装成合法服务
Step 5  后渗透        └─ 凭据收集（Mimikatz / LSASS 转储）           横向移动（PTH / Kerberoast）           目标数据外传（机密文件 / 通讯记录）

整条链的核心是 Step3。以往类似攻击，Office 会弹出「此文件来自互联网，是否信任？」的警告，哪怕只有 10% 的用户会警觉，也能降低攻击成功率。

CVE-2026-21509 消除了这个摩擦。

为什么政府和军方特别难防这类攻击

不是因为他们不懂安全，而是因为有几个客观困难：

1. 补丁部署慢

大型政府机构的 IT 系统，打补丁需要经过测试、审批、分批部署的流程，往往在漏洞公开后几周甚至几个月才能全面覆盖。APT28 利用的就是这个窗口期。

2. OLE 功能无法简单禁用

很多政府工作流程（文件嵌入、报表联动）依赖 OLE 功能，不能一刀切关掉。这给攻击者留下了持续可用的攻击面。

3. 社工内容精准

APT28 的钓鱼邮件不是广撒网的垃圾邮件，而是针对具体人物、具体岗位、具体时事定制的内容。这种精准度让技术手段（沙箱、URL 扫描）的效果大打折扣，最终决定成败的是「人」。

防御视角：如果你是蓝队，该做什么

立即动作（针对 CVE-2026-21509）：

• 1
• 2
• 3
• 4

1、 确认 Microsoft 2026 年 2 月补丁已部署   优先处理：Outlook、Word、Excel、PowerPoint2、 检查 Office 版本，确认 M365 自动更新已开启3、 排查是否有系统因兼容性问题延迟打补丁

中期加固：

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9

1、 启用 Attack Surface Reduction (ASR) 规则   关键规则：   - Block Office applications from creating child processes   - Block Office applications from injecting into other processes   - Block execution of potentially obfuscated scripts2、 部署 Protected View 策略（GPO 强制执行）   确保来自互联网的文件默认在保护视图中打开3、 邮件网关加强 Office 文件深度检测   考虑：在沙箱中预执行附件，观察行为

检测视角（如何发现已入侵）：

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13

关注以下异常行为：- Office 进程（winword.exe、excel.exe）创建子进程  尤其是：cmd.exe、powershell.exe、wscript.exe- Office 进程建立出站网络连接  正常情况下 Word 不应主动连接外部 IP- LSASS 进程被访问（凭据转储的信号）- 新增计划任务或服务（持久化的信号）SIEM 规则参考：Event ID 4688（进程创建）+ 父进程为 Office 应用

关键收获

1. COM/OLE 是 Office 文件的持续攻击面，历史上多个高危漏洞（Follina、CVE-2017-11882 等）都走的这条路，这次不是最后一次。
2. APT28 的攻击没有神秘之处，核心逻辑就是：找一个能绕过安全控制的漏洞 + 精准的鱼叉邮件 + 快速利用窗口期。
3. 补丁窗口期是防守最脆弱的时刻。对有条件的组织来说，「漏洞公开 → 72 小时内完成关键系统补丁」应该是目标。
4. 技术防御之外，人的意识依然重要。再好的沙箱，也挡不住一个在熟悉场景下毫无警觉打开文件的人。

参考资料

https://nvd.nist.gov/vuln/detail/CVE-2026-21509 https://thehackernews.com/2026/02/apt28-uses-microsoft-office-cve-2026.html https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-21509

思考题：ASR 规则为什么不是所有企业都开启？你在实际环境中遇到过哪些「开了反而影响业务」的安全策略？留言聊聊。

关注「极客零零七」，每周实战攻防干货。 回复「提权」获取 Windows + Linux 提权速查表 · 回复「AD攻击」获取 AD 域攻击手册

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 丘驰 丘驰《[技术深潜] APT28 用这个 Office 零日打穿欧洲军政目标》