APT28針對烏克蘭與北約國家從事網路攻擊，疑串連兩個零時差漏洞散布惡意軟體Prismex

趨勢科技指出，他們在APT28攻擊烏克蘭與北約組織（NATO）會員國的活動當中，看到駭客使用名為Prismex的惡意軟體套件，此工具結合了隱寫術（Steganography）、元件物件模型（COM）挾持，並濫用合法雲端服務充當C2。值得留意的是，這些駭客不僅利用CVE-2026-21509，也試圖串連MSHTML框架安全功能繞過漏洞CVE-2026-21513。而對於這起攻擊行動的目的，駭客不僅從事網路間諜活動，也企圖透過資料抹除的指令進行破壞。

這波攻擊活動至少可追溯到2025年9月，並在今年1月出現大幅升級的情況。Prismex是一系列的工具，其命名源自駭客將有效酬載分散到整個圖檔，主要元件包含惡意軟體投放工具PrismexDrop、整合隱寫術功能的惡意軟體載入工具PrismexLoader，以及Covenant Grunt的元件（趨勢科技稱為PrismexStager）。除此之外，惡意軟體投放工具元件還有另一種，趨勢科技稱為PrismexSheet，它透過Excel啟動，並具備VBA巨集，同樣會透過隱寫術擷取其中的有效酬載。

漏洞利用框架Covenant是以.NET打造的C2框架，Grunt是其中的代理程式，具備動態編譯與加密C2通訊的特性。趨勢科技認為，PrismexStager代表後門程式NotDoor生態系統的演進與擴張，從原本採取多條感染鏈的策略，轉換成快速利用新揭露的資安漏洞。

趨勢科技也提及APT28對漏洞相當了解，其中，利用CVE-2026-21509的WebDAV伺服器，其網域名稱在漏洞揭露前兩週就註冊使用；另一個漏洞CVE-2026-21513，Akamai於1月底通報這組人馬利用的跡象，發生在微軟公告及修補的11天前。

趨勢科技推測APT28有可能將兩個漏洞串連利用，攻擊者可先利用CVE-2026-21509強迫受害電腦接收惡意LNK檔案，然後利用第二個漏洞CVE-2026-21513繞過安全機制，並在電腦不會向使用者發出警示的情況下，執行有效酬載。