2025年5月，由美國(guó)、英國(guó)、歐盟和北約網(wǎng)絡(luò)安全與情報(bào)機(jī)構(gòu)聯(lián)合發(fā)布的最新網(wǎng)絡(luò)安全公告披露，俄羅斯軍總參情報(bào)局（GRU）第85特別服務(wù)中心第26165部隊(duì)（又稱APT28、Fancy Bear、Forest Blizzard和BlueDelta）正持續(xù)攻擊支持烏克蘭防務(wù)的全球物流與科技企業(yè)。

攻擊背景與目標(biāo)

公告指出："這份聯(lián)合網(wǎng)絡(luò)安全公告（CSA）揭示了俄羅斯國(guó)家支持的網(wǎng)絡(luò)攻擊活動(dòng)，其目標(biāo)是西方物流實(shí)體和科技公司。"該行動(dòng)自2022年初持續(xù)至今，重點(diǎn)竊取協(xié)調(diào)、運(yùn)輸和交付對(duì)烏國(guó)際援助相關(guān)系統(tǒng)的數(shù)據(jù)，并維持長(zhǎng)期訪問(wèn)權(quán)限。

與俄羅斯GRU關(guān)聯(lián)的知名威脅組織APT28，綜合運(yùn)用暴力破解、憑證釣魚、零日漏洞利用和"就地取材"（Living-off-the-Land）技術(shù)，持續(xù)滲透北約成員國(guó)系統(tǒng)。主要攻擊目標(biāo)包括：

• 交通運(yùn)輸（鐵路、航空、海運(yùn)）
• IT服務(wù)與供應(yīng)鏈
• 國(guó)防承包商
• 關(guān)鍵基礎(chǔ)設(shè)施

公告特別指出："攻擊者還入侵烏克蘭邊境的聯(lián)網(wǎng)攝像頭，用于監(jiān)控援助物資運(yùn)輸。"

攻擊手法與技術(shù)特征

APT28采用的多階段攻擊技術(shù)包括：

• 通過(guò)匿名基礎(chǔ)設(shè)施（Tor、VPN）實(shí)施憑證暴力破解
• 使用多語(yǔ)言誘餌和偽造登錄頁(yè)面進(jìn)行魚叉式釣魚
• 利用CVE-2023-38831漏洞（WinRAR）通過(guò)惡意壓縮包投遞惡意軟件
• 濫用郵箱權(quán)限實(shí)施長(zhǎng)期郵件監(jiān)控
• 利用CVE-2023-23397漏洞（Outlook NTLM認(rèn)證缺陷）竊取憑證
• 針對(duì)Roundcube等網(wǎng)頁(yè)郵件服務(wù)的零日漏洞利用
• 通過(guò)RTSP協(xié)議暴力破解和默認(rèn)憑證劫持IP攝像頭

公告強(qiáng)調(diào)："攻擊者持續(xù)滲透可獲取運(yùn)輸敏感信息的賬戶，包括列車時(shí)刻表和貨運(yùn)清單。"

惡意工具集分析

主要攻擊工具鏈包含：

• HEADLACE：憑證竊取與遠(yuǎn)程訪問(wèn)工具
• MASEPIE：基于Python的自定義后門，用于數(shù)據(jù)外傳與控制
• OCEANMAP與STEELHOOK：曾在歐洲行動(dòng)中使用的間諜載荷

攻擊者還濫用系統(tǒng)原生工具（LOLBins）如ntdsutil、wevtutil和schtasks來(lái)規(guī)避檢測(cè)。

國(guó)際響應(yīng)與防護(hù)建議

該公告獲得美、英、德、法等20余國(guó)機(jī)構(gòu)聯(lián)署，證實(shí)受攻擊國(guó)家包括烏克蘭、波蘭、德國(guó)、法國(guó)、羅馬尼亞、荷蘭、捷克、斯洛伐克、意大利、希臘、保加利亞和美國(guó)。

基于MITRE ATT&CK和D3FEND框架的防護(hù)建議：

• 實(shí)施零信任架構(gòu)
• 部署硬件令牌的多因素認(rèn)證（MFA）
• 攔截來(lái)自已知VPN和公共IP的登錄嘗試
• 對(duì)關(guān)鍵基礎(chǔ)設(shè)施實(shí)施網(wǎng)絡(luò)分段隔離
• 加固IP攝像頭安全配置，清除默認(rèn)憑證
• 審計(jì)Active Directory和郵箱權(quán)限變更
• 監(jiān)控Impacket、Certipy和PsExec等工具的異常使用

公告總結(jié)指出："攻擊者利用外傳數(shù)據(jù)的長(zhǎng)時(shí)間間隔、可信協(xié)議和本地基礎(chǔ)設(shè)施，使敏感數(shù)據(jù)的長(zhǎng)期竊取難以被發(fā)現(xiàn)。"建議物流、國(guó)防和科技領(lǐng)域企業(yè)提升安全防護(hù)等級(jí)，預(yù)設(shè)自身已成為高價(jià)值目標(biāo)。