2026年1月12日,俄罗斯黑客组织APT28注册了域名"wellnesscaremed.com"。14天后,微软才公开披露CVE-2026-21509漏洞。这种时间差不是运气——是提前拿到了漏洞情报。
Trend Micro研究员Feike Hacquebord和Hiroyuki Kakara在报告中指出,该组织自2025年9月起持续活跃,目标覆盖乌克兰中央执行机构、国防、应急服务,以及波兰铁路物流、罗马尼亚海运、斯洛伐克弹药物流伙伴等北约关联实体。
攻击链的设计堪称精密。第一阶段利用CVE-2026-21509强制受害者系统下载恶意.LNK文件,第二阶段通过CVE-2026-21513绕过安全警告直接执行载荷。两个漏洞串联使用,中间几乎没有给用户留反应窗口。
PRISMEX的技术拆解:把恶意代码藏进Excel的图片里
这套新恶意软件家族的核心是"隐写术"——一种把数据藏进图片像素的古老技术。APT28把它做成了现代武器。
PrismexSheet是入口组件:一个带VBA宏的恶意Excel文件。用户启用宏后,它从表格内嵌的图片中提取隐藏载荷,通过COM劫持建立持久化,同时弹出一份无人机库存清单的诱饵文档。整个过程看起来就像正常打开了一份采购表格。
PrismexDrop负责环境准备,为后续渗透铺平道路。PrismexMain是主模块,PrismexLoader则专门处理载荷加载。四个组件分工明确,像一条微型流水线。
命令控制环节更隐蔽:直接滥用合法云服务。流量混在正常云通信里,传统网络监控很难识别。
零日漏洞的"期货"生意
Akamai在2025年2月底的披露揭示了更危险的信号。APT28早在2026年1月30日就将CVE-2026-21513的利用样本上传至VirusTotal,比微软2月10日的补丁发布早了11天。
这不是简单的漏洞利用,而是漏洞的"期货"交易——攻击者必须在微软修复前完成武器化、投递、执行全流程。窗口期以天计算,容错率极低。
APT28选择这个时间点并非偶然。2025年底至2026年初,北约对乌克兰的弹药物流和装备支援进入高频期。铁路调度、海运航线、无人机采购清单——这些正是PRISMEX重点窃取的数据类型。
攻击者把钓鱼邮件的主题精准匹配到目标机构的日常业务:波兰铁路员工收到货运调度通知,罗马尼亚港口人员看到船舶到港清单,斯洛伐克物流商打开弹药运输协调表。
隐写术的复活与COM劫持的老套路
PRISMEX的技术选择透露出一种实用主义。隐写术在APT28的历史武器库中并不常见,但对付现代EDR(终端检测响应)系统意外有效——静态扫描看到的是一张普通PNG,动态行为监控触发的是Excel宏,中间层几乎透明。
COM劫持则是老手艺:篡改Windows组件对象模型的注册表项,让系统启动时自动加载恶意DLL。这种 persistence(持久化)方式从Windows 95时代延续至今,因为微软无法彻底废弃COM架构而始终有效。
新旧技术叠加,形成了一种"低信号"攻击特征:单看任何一层都不足以触发高级告警,组合起来却能穿透多层防御。
北约邮件成核心目标
MiniDoor是PRISMEX的替代载荷,功能单一但精准:窃取Outlook邮件。不搞键盘记录,不偷浏览器密码,专攻邮件——因为北约成员国的物流协调、装备调拨、会议安排,大多通过邮件确认。
一份被窃的无人机采购邮件,可能暴露交付时间、运输路线、接收单位。APT28不需要攻破整个北约网络,只需要在关键节点持续收集这些"后勤情报"。
Trend Micro没有披露具体感染数量,但指出攻击基础设施在2026年1月已就绪,而漏洞公开时间是1月26日。这意味着至少有两周的"静默收割期",目标机构在毫无防备的状态下运行着带漏洞的系统。
目前微软已发布补丁,但补丁覆盖率和实际修复进度仍是未知数。对于那些处理敏感物流数据的机构来说,一个更现实的问题是:如果攻击者已经拿到了2026年的零日漏洞,2027年的又会在什么时候出现?
热门跟贴