2025年5月，由美國、英國、歐盟和北約網絡安全與情報機構聯合發布的最新網絡安全公告披露，俄羅斯軍總參情報局（GRU）第85特別服務中心第26165部隊（又稱APT28、Fancy Bear、Forest Blizzard和BlueDelta）正持續攻擊支持烏克蘭防務的全球物流與科技企業。

攻擊背景與目標

公告指出："這份聯合網絡安全公告（CSA）揭示了俄羅斯國家支持的網絡攻擊活動，其目標是西方物流實體和科技公司。"該行動自2022年初持續至今，重點竊取協調、運輸和交付對烏國際援助相關系統的數據，并維持長期訪問權限。

與俄羅斯GRU關聯的知名威脅組織APT28，綜合運用暴力破解、憑證釣魚、零日漏洞利用和"就地取材"（Living-off-the-Land）技術，持續滲透北約成員國系統。主要攻擊目標包括：

• 交通運輸（鐵路、航空、海運）
• IT服務與供應鏈
• 國防承包商
• 關鍵基礎設施

公告特別指出："攻擊者還入侵烏克蘭邊境的聯網攝像頭，用于監控援助物資運輸。"

攻擊手法與技術特征

APT28采用的多階段攻擊技術包括：

• 通過匿名基礎設施（Tor、VPN）實施憑證暴力破解
• 使用多語言誘餌和偽造登錄頁面進行魚叉式釣魚
• 利用CVE-2023-38831漏洞（WinRAR）通過惡意壓縮包投遞惡意軟件
• 濫用郵箱權限實施長期郵件監控
• 利用CVE-2023-23397漏洞（Outlook NTLM認證缺陷）竊取憑證
• 針對Roundcube等網頁郵件服務的零日漏洞利用
• 通過RTSP協議暴力破解和默認憑證劫持IP攝像頭

公告強調："攻擊者持續滲透可獲取運輸敏感信息的賬戶，包括列車時刻表和貨運清單。"

惡意工具集分析

主要攻擊工具鏈包含：

• HEADLACE：憑證竊取與遠程訪問工具
• MASEPIE：基于Python的自定義后門，用于數據外傳與控制
• OCEANMAP與STEELHOOK：曾在歐洲行動中使用的間諜載荷

攻擊者還濫用系統原生工具（LOLBins）如ntdsutil、wevtutil和schtasks來規避檢測。

國際響應與防護建議

該公告獲得美、英、德、法等20余國機構聯署，證實受攻擊國家包括烏克蘭、波蘭、德國、法國、羅馬尼亞、荷蘭、捷克、斯洛伐克、意大利、希臘、保加利亞和美國。

基于MITRE ATT&CK和D3FEND框架的防護建議：

• 實施零信任架構
• 部署硬件令牌的多因素認證（MFA）
• 攔截來自已知VPN和公共IP的登錄嘗試
• 對關鍵基礎設施實施網絡分段隔離
• 加固IP攝像頭安全配置，清除默認憑證
• 審計Active Directory和郵箱權限變更
• 監控Impacket、Certipy和PsExec等工具的異常使用

公告總結指出："攻擊者利用外傳數據的長時間間隔、可信協議和本地基礎設施，使敏感數據的長期竊取難以被發現。"建議物流、國防和科技領域企業提升安全防護等級，預設自身已成為高價值目標。