APT28小组近日正在进行一项网络间谍行动。此次行动使用到一个文档，而这个文档的名称与近期发生在纽约的恐怖袭击有很大关联。APT28小组的目标正是对这个恐袭事件感兴趣的人群。

McAfee公司表示，

通过对APT28黑客小组活动的监控，迈克菲安全分析师发现了一个有害的Word文档，这个文档似乎利用了微软Office的动态数据交换（DDE技术）。

动态数据交换是一种最初被设计来允许数据在应用之间得到传输的数据协议。攻击者们利用这一技术，不需要用户交互即可运行嵌入到Office文档内的有害代码。该协议使得一个Office应用能加载其他Office应用的资料，该协议目前已被微软的目标链接与嵌入（OLE）协议所代替，但DDE协议仍然能够使用。

DDE技术漏洞曾被许多不法分子利用：例如FIN7高级持续性威胁小组曾进行的DNSMessenger恶意软件攻击以及被因特网风暴中心（ISC）操作员Brad Duncan监测到的Hancitor恶意软件攻击。近来该技术又被Necurs僵尸网络所利用来传播Locky勒索软件。不幸的是，微软并不计划推出一些安全手段来抑制DDE攻击，因为他们认为DDE技术的这些特性是合法的。

在一次最近的APT28发起的攻击行动中，黑客们使用一个与纽约恐袭相关的文档来搭载恶意软件Seduploader为他们后续的攻击做铺垫。Seduploader是个臭名昭著的恶意软件，同时也被称为GAMEFISH后门软件，Sednit，JHUHUGIT以及Sofacy。该软件在其他攻击NATO（北大西洋公约组织）行动中被使用过。它相当于一个“侦查用”的恶意软件，APT小组使用它已经很多年了。它包含两个部分：木马程序(Dropper)与实际的有效数据(Payload)。这一恶意软件是使用PowerShell命令从远程服务器上下载而来的。

恶意软件防治（C&C）的专家们在对这次攻击行动分析过后，认为该次DDE攻击行动是从10月25日开始的。据专家分析，最近的一次攻击与“军刀守护者”军事演习有关。“军刀守护者”是一个多国家的军事演习，其规模大约为25000人，包含来自超过20个国家的兵力。这次军事演习由美国主导在东欧展开，旨在打消俄罗斯入侵北约条约国领土的念头。

在两周之前，Cisco Talos的专家学者们还监测到一起同样由APT28发起的网络攻击行动，这次行动目标是个人而不是组织，通过有关北约网络安全会议的相关文档来实现网络钓鱼。这次会议由北约合作网络防御中心与西点军校联合举办，将在11月7-8日在华盛顿特区召开。黑客们的目标正是对这次会议感兴趣的人群。

McAfee总结道：

APT28小组是一个威胁很大的黑客小组，它不仅善于使用时事热点来吸引它的目标受众，并且善于利用最新的技术来完成目标。据最近收集的资料来看，很有可能APT28小组已经摒弃了之前使用的VBA脚本手段，转而使用DDE技术来通过网络防线。最后，最近的这次利用最新时事以及美军军事演习完成的攻击行动更凸显了APT28小组在利用地缘政治来筛选目标的能力，我们应当多加注意。