文章总结： 本文深度剖析APT28组织利用PRISMEX组件与图像隐写术针对多国政府及国防供应链的攻击，详细拆解从鱼叉钓鱼到LSB隐写无文件加载的完整链路。针对此类隐蔽化威胁，建议通过强化邮件文档检测、部署支持隐写分析的XDR、限制内网横向移动及加强安全意识培训等多维手段构建纵深防御体系。 综合评分： 87 文章分类： 威胁情报,恶意软件,内网渗透,免杀,社会工程学

APT28风暴再起：隐写术武装的APT 攻击与针对基础设施的深度威胁分析

原创

ZM ZM

暗镜

2026年4月6日 06:00 北京 标题已修改

一、APT28组织概况与长期威胁画像

近期，与俄罗斯关联的活跃高级持续威胁 (APT) 组织 APT28一直使用 PRISMEX（一套相互连接的恶意软件组件）来攻击乌克兰及其盟友（包括捷克共和国、波兰、罗马尼亚、斯洛伐克、斯洛文尼亚和土耳其）的国防供应链。本文对 APT28（Pawn Storm/Fancy Bear）近期最新攻击活动进行深度拆解，系统梳理其攻击链路、核心技术、组织历史活动，并对其标志性的隐写术进行详细解析，还原这一国家级 APT 组织如何长期针对全球政府、国防与关键基础设施实施持续性渗透。

APT28，又称Fancy Bear、Strontium、Sednit，是全球最活跃、持续时间最长、攻击目标最广泛的国家级高级持续性威胁组织之一，普遍被安全行业归因于俄罗斯军事情报机构相关力量。

该组织自2007年起持续活跃，攻击活动横跨近二十年，长期聚焦：

• 各国政府机构、外交部、国防部
• 北约及盟友军事、情报、外交系统
• 国防工业、能源、通信、交通等关键基础设施
• 媒体、智库、非政府组织与政治人物

APT28 以鱼叉钓鱼、社会工程、漏洞利用、无文件攻击、云服务滥用为核心手段，具备极强的漏洞武器化能力、长期潜伏能力和跨平台攻击能力，是地缘政治冲突在网络空间最典型的投射力量。

二、本次针对政府基础设施攻击的整体背景

近期最新报告中披露，APT28 近期将矛头直指多国政府基础设施，包括政务网络、公共服务系统、应急管理、国防后勤及边境管控相关机构。

攻击意图呈现明显的战略情报窃取特征，同时具备向破坏性攻击延伸的潜力：

• 获取内部网络拓扑、账号权限、运维流程
• 窃取敏感公文、决策信息、内部通信记录
• 建立持久化后门，为后续横向移动、数据泄露、系统破坏预留通道
• 监控关键基础设施运行状态，形成网络威慑能力

攻击链高度成熟，从钓鱼投递、漏洞利用、载荷加载、权限维持到数据回传形成完整闭环，其中隐写术的深度运用成为本次攻击逃避检测的关键手段。

三、隐写术（Steganography）其在APT28 攻击中的应用

1. 什么是隐写术

隐写术是一种将秘密信息（代码、指令、数据、恶意载荷）隐藏在看似正常的文件（图片、音频、视频、文档）中的技术，使其不被察觉。

与加密不同：加密，是让内容不可读；隐写，是让内容 “不存在”。恶意软件利用隐写术，可将木马、后门、shellcode 嵌入 PNG、JPG、GIF 等图片，或隐藏在 Office 文档的多媒体对象中，绕过杀毒软件、沙箱、网关的静态特征检测，实现 “合法载体藏毒”。

2. APT28使用的典型隐写方式

在本次针对政府基础设施的攻击中，APT28 大量使用图像隐写，主要特点包括：

将恶意载荷分段嵌入图片像素的最低有效位（LSB, Least Significant Bit），肉眼无法识别差异

采用位平面轮询、异或加密、随机噪声掩盖等方式进一步混淆

由专门的加载器（Loader）从图片中读取、解密、内存执行，实现无文件落地

配合合法云存储作为 C2 中转，使恶意流量更难被识别

这种方式让恶意代码以 “普通图片” 的形态进入内网，EDR、防火墙难以通过特征库直接检出，极大提升了攻击成功率与隐蔽性。

四、本次攻击完整链路拆解

1. 初始入侵：高度定向鱼叉钓鱼

APT28 依托高质量社会工程，构造极具欺骗性的钓鱼邮件：

伪装成政府内部通知、会议邀请、政策文件、招标信息

附件多为恶意 RTF、DOCX、XLSX 或 LNK 快捷方式

利用受害者对政府公文的信任诱导打开，触发漏洞执行

2. 漏洞利用与代码执行

攻击者利用已知或在野漏洞，绕过 Office 保护视图、应用程序白名单等安全机制，实现：

• 自动加载远程资源
• 释放加载器
• 执行初始代码

无需复杂交互，普通员工点击即可导致内网沦陷。

3. 隐写载荷释放与内存加载

攻击核心环节之一：

从远程服务器下载看似正常的PNG/JPG图片

• 恶意加载器读取图片中隐藏的 shellcode 或后门程序
• 直接在内存中解密运行，不写入磁盘，规避传统文件扫描

1. 持久化与权限维持为实现长期控制，APT28 典型手段包括：

• 注册表自启动
• 计划任务
• COM
• 组件劫持
• 服务伪装与 DLL 劫持
• 窃取凭证、哈希传递实现横向移动

1. C2 通信与数据窃取，通过加密隧道连接攻击者控制服务器，执行：

• 系统信息收集
• 文件目录遍历
• 屏幕截图、键盘记录
• 批量压缩敏感数据并回传
• 进一步部署后门，扩大控制范围

五、APT28 历史重大攻击事件梳理

APT28 并非新兴威胁，其攻击足迹遍布全球，多次引发国际政治与安全震动：

1. 2016 年美国大选相关攻击

针对民主党全国委员会（DNC）、希拉里竞选团队发动大规模钓鱼入侵，窃取大量内部邮件并泄露，深刻影响美国选举舆论，成为全球最知名的 APT 事件之一。

2. 持续针对北约及欧洲多国政府

多年来持续攻击德国、法国、英国、波兰、波罗的海国家等政府机构、外交部、议会系统，窃取外交谈判、军事部署、制裁政策相关情报。

3. 针对国际奥委会与体育机构

在奥运会期间，针对世界反兴奋剂机构（WADA）等组织发动攻击，泄露运动员隐私信息，具有明显政治宣传目的。

4. 俄乌冲突中的网络作战

自 2014 年克里米亚事件至2022 年全面冲突以来，Pawn Storm 持续针对乌克兰军方、政府、能源设施、通信系统实施高强度网络攻击，配合前线军事行动，渗透、破坏、干扰并重。

5. 针对媒体、智库与研究机构

全球多家主流媒体、战略智库、国防研究机构均遭其渗透，目的在于掌握舆论动向、获取战略分析报告、监控关键人物社交关系。

6. 针对关键基础设施供应链攻击

近年来频繁攻击国防承包商、能源服务商、IT 服务商，通过供应链迂回渗透最终目标政府与军工网络，攻击链路更长、隐蔽性更强。

六、攻击威胁本质与防御启示Pawn Storm 本次针对政府基础设施的行动，再次证明：

APT 攻击常态化、隐蔽化、长期化

• 隐写术、无文件攻击、云滥用已成为 APT 逃避检测的标配
• 政府、国防、关键基础设施是网络空间的核心战场
• 单一防护手段（杀毒、防火墙）已无法抵御此类攻击

针对性防御建议

强化邮件安全：严格检测

RTF、Office 文档，禁用不必要宏，阻断可疑 WebDAV、远程模板加载。

提升隐写恶意代码检测能力：部署支持图片隐写分析、内存行为分析的

EDR/XDR 系统。

加强终端与内网横向移动防护：启用

LSA 保护、限制管理员权限、监控异常注册表与计划任务。

威胁情报驱动运营：接入Pawn Storm 相关IoC、TTPs 情报，实时狩猎可疑行为。

人员安全意识培训：针对政府公文类钓鱼进行专项演练，降低社会工程成功率。

APT28以隐写术为利刃、以鱼叉钓鱼为矛、以长期潜伏为战术，持续对全球政府基础设施构成严重威胁。其攻击活动不仅是单纯的网络入侵，更是地缘博弈的重要组成。对于防御方而言，只有从技术检测、流程管控、人员意识、威胁情报多维度构建纵深防御体系，才能在 的持续风暴中守住关键网络防线。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《APT28风暴再起：隐写术武装的APT 攻击与针对基础设施的深度威胁分析》