微软在 1 月 26 日释出紧急更新修复 Office 高危漏洞 CVE-2026-21509,不到 48 小时俄罗斯黑客组织就对补丁进行了逆向工程,开始利用该漏洞发动大规模钓鱼攻击,入侵多个国家的外交、海事和交通机构。安全公司 Trellix 的研究人员发现,钓鱼攻击持续了 72 小时,被称为 APT28 aka Fancy Bear、Sednit、Forest Blizzard 和 Sofacy 的黑客组织向主要位于东欧的 9 个国家发送了至少 29 封恶意电邮。被攻击的国家包括了波兰、斯洛文尼亚、土耳其、希腊、阿联酋、乌克兰、罗马尼亚和玻利维亚,目标组织包括国防部(40%)、运输/物流运营商(35%)和外交机构(25%)。攻击者利用尚未修复的漏洞安装了两种新后门程序 BeardShell 或 NotDoor。BeardShell 主要用于侦察,运行在内存中不会在硬盘上留下痕迹,NotDoor 则是监控电子邮件文件夹的 VBA 宏。
