网络安全公司Kroll发现俄罗斯APT28组织利用名为GONEPOSTAL的恶意Outlook宏后门进行间谍活动。该恶意软件通过DLL侧加载和VBA宏引擎建立隐蔽的命令控制通道。APT28与俄罗斯军方情报机构有关，曾参与多起重大网络攻击。此攻击手法利用合法电子邮件流量，企业需关注异常的Outlook宏活动和注册表修改。

俄罗斯黑客组织APT28利用名为NotDoor的后门程序，通过Outlook的VBA宏窃取数据。该程序监控特定邮件触发词，执行命令并隐蔽发送窃取文件。安全专家建议禁用Outlook VBA宏并加强监控以防范此类攻击。

乌克兰CERT-UA警告发现新型恶意软件LameHug，该软件利用AI生成数据窃取指令，归因于俄罗斯APT28组织。LameHug通过伪装文件传播，收集系统信息并搜索文档，是首款AI驱动的动态调整攻击链的恶意软件。

本周「FreeBuf周报」总结了网络安全热点，包括APT28组织攻击乌克兰后勤、黑客窃取可口可乐数据、AI模型引发的举报与勒索争议、1.84亿登录凭证泄露、微软摧毁Lumma恶意软件网络、SK电讯用户数据泄露、RedisRaider挖矿攻击、iOS应用滥用授权、云存储数据泄露及ChatGPT漏洞风险。

俄罗斯APT28组织针对支持乌克兰的物流企业发起网络攻击，微软摧毁了Lumma恶意软件网络，韩国SK电讯遭黑客入侵，泄露2700万用户数据。多个高危漏洞威胁网络安全，需加强防护措施。

2025年5月，美国、英国、欧盟和北约发布公告，指出俄罗斯GRU的APT28组织持续攻击支持乌克兰的全球物流和科技企业，窃取敏感数据。攻击手法包括凭证钓鱼和利用漏洞，目标为交通运输和国防承包商。建议企业加强安全防护，实施零信任架构和多因素认证。

波兰政府宣布APT28黑客组织攻击多个政府机构，通过网络钓鱼邮件诱使受害者下载恶意文件。APT28活跃多年，被指责入侵多国政府机构。美国和欧盟已对该组织实施制裁。

美国联邦调查局和国家安全局发布警告，俄罗斯军方黑客利用被入侵的Ubiquiti EdgeRouters逃避检测。黑客属于俄罗斯总参谋部情报总局下的26165军事单位，利用受攻击的路由器创建僵尸网络，窃取登录凭证和认证信息。警告建议恢复出厂设置、升级固件、更改默认用户名密码，并部署防火墙规则。联邦调查局正在搜集活动信息，以阻止进一步使用这些攻击技术。

政府支持的APT组织利用WinRAR漏洞窃取浏览器登录数据，可能与APT28有关。攻击者针对落后组织。

乌克兰军事实体成为网络钓鱼攻击目标，攻击者利用无人机服务手册为诱饵，传播名为Merlin的工具包。攻击链简单，但攻击者利用复杂技术手段逃避检测。APT28组织对乌克兰关键能源基础设施发动网络攻击，未获成功。

微软披露俄罗斯黑客组织“午夜暴雪”进行的凭证窃取攻击激增，攻击目标包括政府、IT服务提供商、非政府组织、国防和关键制造部门。攻击手段包括密码喷涂、暴力破解、令牌盗窃和会话重放等技术。APT28针对乌克兰政府和军事实体进行鱼叉式钓鱼活动，利用附件和Roundcube漏洞进行侦察和数据收集。预计APT28将继续针对乌克兰政府和私营部门组织，支持俄罗斯军事。