APT28濫用開源漏洞利用框架Covenant滲透烏克蘭軍方,從事網路間諜活動
攻擊行動與技術手法
惡名昭彰的俄羅斯駭客組織APT28(Fancy Bear、Forest Blizzard、Sofacy)近期持續針對烏克蘭展開攻擊活動,研究人員指出其在戰爭期間重新開發惡意程式,並透過多種技術滲透目標系統。
APT28被發現利用開源漏洞利用框架Covenant,作為其攻擊鏈中的後門工具,用以建立遠端控制與資料竊取能力。該框架被廣泛應用於後滲透階段,並透過修改C2流量特徵來提升隱蔽性。
攻擊手法包括釣魚郵件、暴力破解、零日漏洞利用,以及「就地取材」(Living-off-the-Land)技術,以降低被偵測的風險。
攻擊目標與範圍
主要攻擊目標為烏克蘭軍方與支援烏克蘭的後勤供應鏈,包括物流與科技企業,並擴展至北約系統,監控關鍵交通與防務資訊。
根據烏克蘭電腦應急響應小組(CERT-UA)報告,APT28曾利用CVE-2026-21509漏洞,針對Microsoft Office進行攻擊,顯示其對地緣政治對手的持續間諜活動。
相關研究與分析
ClearSky Cyber Security研究人員認為,APT28的攻擊行動與其過往行為高度相似,且為提高隱蔽性,常使用BadPaw與MeowMeow等惡意載體建立多階段攻擊鏈。
此外,深信服APT攻防趨勢報告指出,Cobalt Strike、Empire與Covenant等工具皆支援可調整的C2配置,顯示APT28可能透過這些框架進行高度定製化的攻擊。
相關事件也顯示,國家級駭客組織能迅速將公開漏洞武器化,對關鍵政府機構構成嚴重威脅。