文章总结： 该文档详述了俄罗斯APT28组织因服务器配置失误泄露52MB攻击工具箱的事件，该工具箱主要针对乌克兰国家移民局的Roundcube邮件系统。泄露内容包括XSS攻击脚本、CSS侧信道工具、Go语言后门及C2服务器代码，暴露了其窃取凭据、绕过2FA及持久化攻击的完整链条。文章分析了攻击手法与操作员习惯，并提供了监控邮件系统、识别钓鱼链接及利用IOC指标加固防御的具体建议。 综合评分： 88 文章分类： 威胁情报,恶意软件,漏洞分析,安全大事件,应急响应

---

俄罗斯APT28失手！泄露52MB攻击工具箱，乌克兰移民局成主要目标

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年3月24日 12:10 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

“ docs.goog1e.com.spreadsheets.d.xxx.zhblz.com ”——当乌克兰国家移民局的工作人员收到这个酷似谷歌文档的链接，大概率不会察觉“goog1e”里的“l”被换成了数字“1”。这正是俄罗斯知名APT组织“奇幻熊”（APT28）的新陷阱，却因意外暴露的攻击工具箱，让整场针对Roundcube邮件系统的秘密行动彻底曝光。

2026年1月，安全研究员在203.161.50[.]145服务器上发现一个暴露的开放目录，里面藏着APT28完整的“Roundish”攻击套件，包含61个文件、36个子目录，总大小达52MB。从XSS payload到CSS侧信道攻击工具，从Flask控制服务器到Go语言后门，甚至还有操作员的bash操作记录，堪称“黑客作案全套证据”。作为跟踪APT攻击的安全博主，必须扒透这起“史上最详细的APT失手事件”——黑客的攻击套路、隐藏技巧，甚至操作习惯，都藏在这份泄露的工具箱里。

先认门：APT28，俄罗斯的“国家级黑客军团”

APT28（又名Fancy Bear、Sednit）绝非普通黑客团伙，而是隶属于俄罗斯GRU军事情报局的“王牌部队”，自2004年起活跃至今，堪称“网络战老手”。

它的“战绩”赫赫有名：2016年入侵美国民主党全国委员会（DNC）、泄露世界反兴奋剂机构（WADA）邮件、攻击全球电视台TV5Monde……核心目标始终是窃取政府、国防、关键行业的敏感情报，而乌克兰更是其长期重点针对的对象。

这次曝光的Roundish工具箱，是APT28专门针对Roundcube邮件系统打造的“定制化武器”，技术细节与此前的Operation RoundPress campaign高度重合，进一步证实了其归属。

工具箱大揭秘：6大攻击武器，招招致命

这份泄露的工具箱堪称“黑客教科书”，从钓鱼诱骗到长期潜伏，每个环节都设计得极其隐蔽：

1. 钓鱼诱饵：仿谷歌文档+伪造登录页

APT28最擅长“以假乱真”：

用typosquatting（拼写欺骗）生成酷似谷歌文档的链接，把“google”换成“goog1e”，肉眼几乎难辨；

搭建克隆的Roundcube登录页（roundcube.html），表单字段与正版完全一致，还特意用法语“authentification.php”命名端点，模仿欧洲政府网站风格；

受害者输入 credentials 后，会被自动 Redirect 到“Adob_Scan_15_ian._2025.pdf”诱饵文档，全程没有任何异常提示。

2. XSS payload：6项任务同时执行，偷光邮件与密码

工具箱的核心是名为“SpyPress.Roundish”的JavaScript payload，分开发版（newworker.js）和混淆生产版（worklast.js），一旦通过Roundcube的XSS漏洞执行，会同时启动6个恶意操作：

偷 credentials：注入隐藏表单（visibility:hidden），利用浏览器自动填充功能捕获账号密码，Base64编码后发送给C2；

邮件转发：创建服务器端Sieve规则，将所有收件自动转发到“[email protected]”，就算改密码、补漏洞也没用；

批量盗邮件：通过Roundcube的viewsource API，把收件箱、已发送邮件全部导出为.eml文件，打包偷走；

窃2FA密钥：用keyTwoAuth.js模块提取TOTP秘密，绕过双因素认证；

盗地址簿：通过adbook.js窃取所有联系人信息；

发信标通知：第一时间向C2服务器报告“目标已上钩”。

更嚣张的是，开发版payload还带着自定义HTTP头“secure: bigdick”，疑似用于区分测试流量，堪称黑客的“专属水印”。

3. CSS侧信道攻击：不用JS也能偷数据

这是APT28的“新招”：通过roundcube-css-exploit.js搭建专门的攻击服务器，利用CSS的@import指令和选择器匹配，逐步窃取Roundcube页面里的CSRF令牌、邮件UID等敏感数据。

整个过程不用注入任何JavaScript，仅通过CSS规则的匹配反馈就能提取信息，完美绕过传统的XSS防御，技术门槛极高，此前从未在APT28的攻击中被公开披露。

4. 控制服务器：Flask搭建，功能一应俱全

APT28用Flask框架搭建了核心C2服务器（serverlast.py），暴露的端点覆盖攻击全流程：

/zJ2w9x：接收所有操作日志，从“受害者打开邮件”到“成功偷取 credentials”，全程记录；

/zJ2w9x/uploadfile/：存储盗来的.eml邮件包；

/upload：接收Firefox浏览器的logins.json和key4.db文件，解密后存入loot.txt；

各类.js模块端点：动态下发邮件转发、2FA窃取等功能脚本。

服务器还贴心地实现了“ credentials 去重”功能，避免重复存储同一目标的账号密码，细节堪称“专业”。

5. 持久化后门：httd implant，三种方式扎根系统

工具箱里藏着一个名为“httd”的Go语言ELF后门，看似是HTTP守护进程，实则是APT28的“潜伏利器”，支持三种持久化方式：

Cron定时任务：在/etc/crontab添加每分钟执行一次的root级任务，就算重启也能复活；

Systemd服务：在/boot目录创建“linux.service”，设为开机自启；

SELinux绕过：生成自定义策略模块，让后门被安全机制白名单放行。

这个后门还支持HTTP/2、WebSocket通信，内置30多种浏览器User-Agent，方便黑客伪装正常流量。

6. 辅助工具：从浏览器窃密到容器逃逸

除了核心武器，工具箱还包含各类“辅助装备”：

Browser.ps1 + browser.hta：专门窃取Chrome浏览器的加密 credentials，用AES-GCM解密；

IPMICFG.efi：Supermicro服务器的BMC配置工具，能实现硬件级别的远程控制，就算重装系统也无法清除；

容器逃逸检测脚本：长达80多行，专门检测目标是否运行在Docker/K8s环境，方便后续横向渗透。

攻击流程拆解：从点链接到被监控，仅需4步

APT28的攻击流程堪称“流水线作业”，每一步都精准衔接：

Step 1：钓鱼链接诱骗，触发XSS漏洞

操作员通过邮件发送伪造的谷歌文档链接或Roundcube登录页链接，受害者点击后，恶意脚本通过Roundcube的XSS漏洞自动执行——这是整个攻击的“敲门砖”。

Step 2：多模块联动，窃取核心数据

XSS payload同时启动 credentials 窃取、邮件转发、地址簿盗窃等6项任务，所有数据通过加密通道发送到zhblz.com核心C2服务器，全程混在正常HTTP流量中，难以察觉。

Step 3：部署后门，长期潜伏

如果目标价值较高，操作员会通过C2下发httd后门，通过Cron或Systemd建立持久化，就算受害者发现异常改了密码，后门依然能持续监控。

Step 4：横向渗透，扩大攻击范围

操作员通过bash记录显示，会用msfvenom生成Meterpreter payload，通过SSH连接到Oracle Cloud（130.61.233[.]*）等跳板机，进一步渗透目标内部网络，甚至窃取了印度某ISP的Palo Alto防火墙配置（106.51.89[.]*）。

暴露的秘密：操作员习惯+攻击目标全曝光

这次泄露的不仅是工具，还有APT28操作员的“操作实录”，从bash历史中能清晰看到他们的工作习惯：

目标明确：多次用curl测试“mail.dmsu.gov.ua”（乌克兰国家移民局邮件服务器），还创建了专门的“senderRB/”目录存放针对该目标的攻击文件；

工具依赖：频繁使用msfvenom生成反向TCP payload，用Python HTTP服务器（python3 -m http.server 9099）分发恶意文件；

操作粗心：创建systemd服务时拼写错误（m_sevice.service），还把测试用的“secure: bigdick”头留在开发版payload中；

基础设施：使用Namecheap注册zhblz.com域名，用Oracle Cloud作为跳板机，甚至泄露了 compromised 目标“blog.pentagonteam.com”的Telegram机器人令牌、AWS内网IP等敏感信息。

更关键的是，工具箱明确指向乌克兰国家移民局，结合APT28的历史行为，其目标大概率是窃取移民数据、边境管控信息等敏感情报。

防御指南：4招挡住APT28的邮件攻击

针对Roundish工具箱暴露的攻击手法，企业和机构可按以下步骤加固防御：

1. 重点监控Roundcube邮件系统

立即审计所有Sieve/ManageSieve邮件转发规则，重点排查指向“[email protected]”或隐私邮箱的异常规则；

禁用Roundcube的eval()执行功能，部署严格的内容安全策略（CSP），拦截inline脚本和外部恶意资源加载；

及时修补Roundcube的已知XSS漏洞，参考CISA的漏洞目录完成强制更新。

2. 警惕钓鱼链接与伪造文档

培训员工识别拼写欺骗域名（如“goog1e”“g00gle”），收到疑似谷歌文档、政府机构的链接时，先核对域名真实性；

禁止直接点击邮件中的陌生链接，如需访问，手动输入官方域名，避免落入钓鱼陷阱。

3. 检测异常行为与恶意文件

监控网络流量：重点拦截与zhblz.com、a.zhblz.com的通信，以及包含“/zJ2w9x?log=”的请求；

终端检测：搜索系统中是否存在“linux.service”（/boot目录）、Cron任务中的“/.img”执行项，添加httd后门的SHA256哈希到拦截名单；

浏览器防护：定期清理自动填充凭据，禁用非必要网站的密码保存功能。

4. 针对泄露IOC强化防护

拉黑相关IP：203.161.50[.]*（C2服务器）、130.61.233[.]*（Oracle跳板机）等；

拦截恶意文件：禁止下载“Adob_Scan_15_ian._2025.pdf”等诱饵文档，检测名为“httd”“krp”“krpb”的可疑文件。

最后提醒：APT也会失手，但防御不能松懈

APT28的这次“工具箱泄露”堪称网络安全史上的罕见案例，让我们得以完整窥见国家级黑客组织的攻击逻辑和技术细节。但这并不意味着APT的威胁降低——相反，他们会不断迭代工具，修正失误。

对政府机构、关键行业来说，邮件系统作为核心通信入口，早已成为APT组织的重点突破目标。唯有持续监控异常行为、强化员工安全意识、及时修补漏洞，才能在这场“猫鼠游戏”中占据主动。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《俄罗斯APT28失手！泄露52MB攻击工具箱，乌克兰移民局成主要目标》