思科 Talos 團隊近期發現黑客組織APT28正利用誘導文件開展新一輪網絡攻擊活動。有趣的是，該文件是一份關于美國會議 “網絡沖突” 的宣傳單張，其由北約網絡防御中心于今年 11 月 7 日至 8 日在華盛頓舉辦。值得注意的是攻擊活動與此前大不相同，該誘導文件雖然并未通過任何開發手段或零日漏洞展開攻擊，但他們使用了惡意 Visual Basic Applications（VBA）宏病毒嵌入 Microsoft Office 文檔，以便分發惡意軟件 Seduploader 新變種。

俄羅斯 ATP28 黑客組織（又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team）除針對丹麥國防部展開網絡間諜活動外，還曾涉嫌參與多起歐洲國家網絡攻擊事件，其中包括攻擊歐洲防務展覽會、干預法國德國重大選舉、針對聯邦議院發起魚叉式網絡釣魚攻擊等。

調查顯示，誘導文件以 Conference_on_Cyber_Conflict.doc 命名，包含 2 頁與組織者和贊助商的標識。此外，由于該文件確切的內容可以在會議網站查詢，因此攻擊者可能對其內容進行復制/粘貼后利用 Word 創建惡意文檔。不過，根據文件的性質，研究人員推測攻擊者的目標人群可能是網絡安全領域的相關人士。此外，研究人員通過查看誘導文件發現 VBA 會在感染目標設備后分發惡意軟件 Seduploader 新變種，這款偵察惡意軟件已被 APT 28 使用多年。

知情人士透露，攻擊者的思維與時俱進，其懂得利用美國 “網絡沖突” 為主題吸引讀者注意從而達成攻擊的目的。目前，研究人員仍在進行調查，因為他們不希望黑客能夠通過任何漏洞確保惡意軟件的存活幾率。

附：Cisco Talos 原文報告《 “網絡沖突” 誘導文件用于真實的網絡沖突 》