【安全圈】Fancy Bear 利用微軟 Office 漏洞對烏克蘭及歐盟發動網絡攻擊

關鍵詞

黑客

據報道，與俄羅斯有關聯的黑客組織 Fancy Bear（ APT28）利用微軟 Office 近期披露的一項漏洞，對烏克蘭及歐盟相關組織發起網絡攻擊。

該預警由烏克蘭國家網絡威脅情報機構 —— 烏克蘭計算機應急響應小組（CERT-UA）于 2 月 2 日發布。

CVE-2026-21509 漏洞在披露前已遭利用

CERT-UA 具體報告稱，其在 1 月 29 日發現了一個名為 “Consultation_Topics_Ukraine(Final).doc” 的 Word 文檔。該文檔包含 CVE-2026-21509 漏洞的利用程序，該漏洞為高危級別（CVSS 3.1 評分 7.8 分），影響微軟 Office 2016、2019、長期服務頻道 2021 版、長期服務頻道 2024 版及微軟 365 企業應用版等多個版本。

微軟于 1 月 26 披露了該漏洞，其成因是微軟 Office在安全決策環節過度依賴不可信輸入。

該漏洞被成功利用后，攻擊者可繞過微軟 365 及 Office 中的對象鏈接與嵌入（OLE）防護機制，而該機制原本用于保護用戶免受存在漏洞的組件對象模型（COM）及 OLE 控件的威脅。

微軟在其安全公告中確認，已檢測到該漏洞存在在野利用的相關證據。該科技企業敦促微軟 Office 2016 及 2019 版本用戶務必安裝更新以獲得防護。

微軟 Office 2021 及后續版本用戶將通過服務端更新獲得自動防護，但需重啟 Office 應用程序方可生效。

CERT-UA 在報告中指出：“鑒于用戶可能延遲（或無法）更新微軟 Office 及落實推薦安全措施，利用該漏洞發起的網絡攻擊數量或將持續上升。”

Fancy Bear 針對 CVE-2026-21509 漏洞的攻擊鏈

烏克蘭計算機應急響應小組發現的該 Word 文檔，與歐盟常駐代表委員會針對烏克蘭局勢的磋商相關。

文檔元數據顯示，其創建時間為 1 月 27 日上午，即微軟披露該漏洞的次日。

同日，烏克蘭計算機應急響應小組表示，從合作方處收到報告稱，出現疑似來自烏克蘭水文氣象中心的釣魚郵件，附件為另一個名為 BULLETEN_H.doc 的文檔。

這封郵件被發送給了超過 60 個郵箱地址，收件方主要是烏克蘭的中央行政機關。

CERT-UA 的深入分析表明，使用微軟 Office 打開該文檔后，會通過 WebDAV 協議觸發與外部資源的網絡連接，隨后下載一個偽裝成快捷方式（LNK 文件）的惡意文件，該文件含有的惡意代碼可實現載荷的下載與執行。

攻擊成功執行后，會進行以下操作：

• 創建名為 “EhStoreShell.dll” 的 DLL 文件（偽裝成系統“增強存儲外殼擴展”庫）。

• 創建包含 Shellcode 的圖片文件 “SplashScreen.png”。

• 修改注冊表中 CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} 的路徑（以此實現 COM 劫持）。

• 創建名為 “OneDriveHealth” 的計劃任務。

這些任務執行后，會終止并重啟資源管理器進程（explorer.exe），該進程會通過組件對象模型劫持技術加載 EhStoreShell.dll 文件。

該動態鏈接庫文件會執行圖片文件中的殼代碼，最終在受感染系統中加載 Covenant 攻擊框架。

Covenant 是一款基于.NET 框架開發的命令與控制（C2）工具，最初設計用途為網絡攻防演練及紅隊滲透測試。

烏克蘭計算機應急響應小組還強調，由于 Covenant 框架將合法云存儲服務 Filen 作為命令與控制基礎設施，疑似被Fancy Bear組織列為攻擊目標的機構，應封禁該云存儲服務節點的網絡訪問，或至少對相關網絡交互進行嚴密監控。

2026 年 1 月下旬，安全人員還發現了另外三份攜帶相同漏洞利用代碼的文檔，其攻擊目標指向歐盟國家的組織機構。

烏克蘭計算機應急響應小組敦促相關方落實微軟安全公告中列明的漏洞緩解措施，尤其是針對 Windows 注冊表配置的相關防護操作。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！