俄军顶级黑客再出手!APT28携双新型恶意软件,精准猎杀乌克兰政府高官

admin 2026-07-14 04:45:00 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 俄军APT28组织利用Signal聊天软件投递伪装政务文档,通过恶意宏触发COM劫持,释放Beardshell和Covenant两款定制恶意软件,实现无痕驻留、加密通信与数据窃取,精准攻击乌克兰政府高官。防御关键在于禁用Office宏、严控聊天文件传输、监控异常云流量与注册表。 综合评分: 80 文章分类: 威胁情报,恶意软件,漏洞分析,实战经验,安全意识


cover_image

俄军顶级黑客再出手!APT28携双新型恶意软件,精准猎杀乌克兰政府高官

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年6月7日 11:59 广东

在小说阅读器读本章

去阅读

大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

俄乌冲突的硝烟之外,网络战场的暗战从未停歇。2025年6月,乌克兰国家应急响应小组(CERT-UA)连发最高级别预警:俄罗斯军方情报机构(GRU)旗下顶级黑客组织APT28(又称Fancy Bear/UAC-0001) 发起新一轮高强度网络间谍攻击,全程使用BEARDSHELL与COVENANT两款全新定制恶意软件,精准锁定乌克兰政府核心部门及高官,窃取外交、国防绝密情报。

作为全球最臭名昭著的国家级黑客组织之一,APT28自2007年活跃至今,曾入侵美国民主党邮箱、德国议会、法国电视台,擅长“精准渗透+长期潜伏+无痕窃密”。此次针对乌克兰的攻击,其技术隐蔽性、战术针对性再升级,堪称“国家级间谍的教科书式猎杀”。

一、顶级伪装:从聊天软件切入,1份文件击穿政府防线

APT28最擅长“量身定制”的社会工程学陷阱,此次攻击摒弃传统邮件钓鱼,改用Signal加密聊天软件投递恶意文件,精准规避常规邮件防护,直击乌克兰政府工作人员日常办公场景。

攻击起点是一份名为Акт.doc(协议文件) 的Word文档,攻击者伪装成乌克兰外交部、国防部内部人员,通过Signal发送,附言标注“机密协议、需确认签署”。这份文档看似普通,实则内嵌恶意宏代码,一旦官员放松警惕点击启用编辑,整个政府电脑将瞬间沦陷。

攻击全流程:1次点击,全程失控

  1. 诱饵投递:Signal发送伪装政务文档,精准匹配目标工作内容,降低警惕;

  2. 宏触发:启用编辑后,宏代码自动执行,释放2个恶意文件+1个注册表项;

  3. COM劫持:篡改系统注册表,实现开机自启,后续每次打开资源管理器,恶意程序自动运行;

  4. 载荷释放:解密执行核心恶意软件,建立秘密控制通道。

整个过程无弹窗、无异常提示,全程在后台静默运行,普通杀毒软件难以察觉,堪称“无声无息的致命陷阱”。

二、双魔共生:BEARDSHELL+COVENANT,窃密能力拉满

此次攻击中,APT28动用两款定制恶意软件,分工明确、协同作战,形成“控制+窃密”的双重杀伤链,每款工具都针对政府办公环境深度优化。

  1. COVENANT:隐形控制中枢,打通黑客“指挥室”

作为核心控制框架,COVENANT是一款基于.NET的后渗透工具,被APT28深度改造,主打无痕驻留+加密通信。

隐蔽通信:滥用Koofr合法云存储服务作为控制服务器,恶意流量伪装成正常云文件传输,绕过防火墙检测;

内存执行:核心代码在内存中运行,不写入硬盘,普通查杀无法溯源;

权限维持:通过计划任务+注册表劫持双重方式,确保重启不失效。

  1. BEARDSHELL:全能窃密终端,掏空核心数据

如果说COVENANT是“指挥室”,BEARDSHELL就是“情报收集官”——这款C++编写的后门程序,功能覆盖命令执行、数据窃取、屏幕监控。

远程操控:接收黑客指令,执行PowerShell命令,控制系统最高权限;

文件窃取:扫描硬盘所有文档、表格、PDF,优先窃取国防部署、外交文件;

屏幕监控:定期截取桌面截图,实时监控官员操作,捕捉涉密信息;

加密回传:通过Icedrive云服务加密上传数据,全程无痕迹。

除此之外,APT28还配套SLIMAGENT截图工具,专门捕获桌面敏感画面,形成“监控+窃取+回传”的完整间谍链路。

三、APT28:俄军“网络尖刀”,十年恶迹累累

很多人对APT28(Fancy Bear)陌生,但其战绩足以震惊全球——作为俄罗斯GRU第26165部队直接管控的黑客组织,它是俄军“网络战王牌”。

核心黑历史,每一次都震动全球

2016年:入侵美国民主党全国委员会邮箱,泄露海量邮件,干预美国大选;

2015年:攻破德国联邦议会,窃取议员机密文件;

2022年后:俄乌冲突期间,持续攻击乌克兰国防部、能源、金融机构;

2024年:利用Windows打印漏洞,攻击欧洲多国政府;

2025年:多次攻击援乌欧美物流、科技企业,切断援助链路。

此次攻击,是APT28针对乌克兰政府的最新一轮“定点清除”,目标直指外交决策、国防部署等核心机密,为俄军战场行动提供情报支持。

四、防御警示:政府/企业必防的3大核心漏洞

APT28的攻击手段虽专业,但核心入口始终是“人为疏忽+工具漏洞”,以下3点是防御关键:

  1. 禁用Office宏,守住第一道防线

所有政府、企业办公电脑,默认禁用Office宏,仅特殊业务可单独授权并严格审核,杜绝恶意宏触发入口。

  1. 严控聊天软件文件传输

Signal、微信、钉钉等办公聊天工具,禁止接收陌生政务文档,内部文件传输走官方加密渠道,不随意点击“启用编辑”。

  1. 监控可疑云流量+注册表

重点监控Koofr、Icedrive等云服务异常连接,定期排查注册表启动项、计划任务,发现未知项立即清理。

结语:网络暗战无硝烟,国家级威胁就在身边

APT28的此次攻击,再次印证:网络空间早已是大国博弈的第二战场,国家级黑客组织的技术、战术持续升级,目标从军事设施延伸至政府、能源、金融等关键领域。

对普通人而言,这场远在乌克兰的网络战看似遥远,但APT28的攻击手法(伪装文件、聊天软件钓鱼)早已向全球扩散。警惕陌生文件、禁用危险功能、定期排查系统,既是保护个人信息,也是抵御国家级网络威胁的基础防线。

加入知识星球,可获取权益

一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

二、为什么加入?

职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?

三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;

 晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;

 技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);

 架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);

四、适合谁?

 想突破职业天花板的安全工程师/架构师;

 需快速落地安全项目的企业负责人;

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《俄军顶级黑客再出手!APT28携双新型恶意软件,精准猎杀乌克兰政府高官》

评论:0   参与:  0