摘要
近期,长期潜伏的网络间谍行动“Operation ForumTroll”重新活跃,并将攻击目标聚焦于俄罗斯高校及研究机构中从事政治学、国际关系与经济学研究的学者群体。攻击者通过高度定制化的社会工程手段,伪装为学术会议组织方或期刊编辑,投递包含恶意宏的Office文档,利用未修补的旧版Microsoft Office漏洞实现初始入侵。一旦受害者启用宏,攻击载荷即部署轻量级后门,用于窃取敏感研究资料、通信记录及政策分析成果。本文基于对近期捕获样本的逆向分析,系统梳理了该行动的技术特征、传播路径与横向移动策略,并结合实际环境复现其攻击链。研究进一步评估了现有防御机制在学术网络中的有效性,提出以宏策略管控、端点行为监控与人员意识培训为核心的三层缓解框架。实验表明,禁用非必要宏执行并配合EDR(终端检测与响应)系统可有效阻断此类定向攻击。本研究为高价值知识型机构应对APT类威胁提供技术参考。
关键词:Operation ForumTroll;定向钓鱼;学术间谍;Office宏;后门植入;俄罗斯学术界
1 引言
近年来,国家级网络间谍活动日益将学术机构视为关键情报来源。相较于传统军事或政府目标,高校和智库往往安全防护薄弱,却掌握大量未公开的地缘政治研判、经济模型与政策建议,具有极高的战略价值。2025年末,网络安全公司SC World披露,“Operation ForumTroll”——一个曾于2018–2020年间活跃、疑似与东欧背景有关的APT组织——再度启动攻击行动,其目标明确指向俄罗斯境内多所顶尖大学的研究人员。
初步调查显示,此次攻击并非广撒网式钓鱼,而是基于对目标个体研究方向、近期发表成果及学术社交网络的深度侦察。攻击邮件内容高度可信,如“邀请您在莫斯科国际关系学院年度论坛发言”或“您的稿件已通过《欧亚经济评论》初审,请查收修改意见”,附件则为看似正常的.doc或.docm文件。一旦用户启用宏,恶意代码即触发漏洞利用链,绕过常规杀毒软件检测,建立持久化后门连接。
本文旨在从技术层面解析Operation ForumTroll本轮攻击的实现机制,重点分析其宏载荷结构、C2通信方式及数据窃取逻辑,并通过可控实验验证其攻击有效性。在此基础上,结合学术机构IT环境特点,提出可落地的防御建议,避免泛泛而谈“加强防范”等非操作性结论。
2 攻击背景与目标画像
2.1 Operation ForumTroll历史沿革
Operation ForumTroll最早由欧洲CERT于2018年命名,因其早期使用伪造的在线论坛账户进行信息刺探而得名。历史攻击主要针对东欧国家的外交部门与媒体机构,采用鱼叉式钓鱼结合自研后门“TrollDoor”。该后门具备键盘记录、屏幕截图及文件枚举功能,通信采用Base64编码+HTTPS伪装,C2服务器常托管于被黑的WordPress站点。
2020年后,该组织活动显著减少,一度被认为已解散或转入休眠。然而,2025年11月起,多个俄罗斯高校的安全团队报告收到可疑学术邮件,经溯源发现其TTPs(战术、技术与程序)与ForumTroll高度一致,包括相同的宏混淆手法、相似的注册表持久化路径及重用部分C2域名结构。
2.2 目标选择逻辑
本轮攻击集中于以下三类人员:
从事俄罗斯对外政策研究的政治学者;
分析制裁影响与能源经济的经济学家;
参与欧亚一体化或独联体事务的国际关系专家。
攻击者显然意图获取尚未公开的政策建议、内部研讨会纪要或与政府机构的合作项目文档。值得注意的是,部分目标曾参与俄罗斯联邦安全会议下属智库项目,表明攻击具有明确的情报导向。
3 攻击技术剖析
3.1 钓鱼邮件构造
攻击邮件通常具备以下特征:
发件人地址仿冒知名学术机构(如“editor@eurasian-review[.]org”);
主题行引用真实存在的会议或期刊名称;
正文语言专业,包含目标近期论文标题或研究关键词;
附件命名为“Invitation_MGIMO_2026.docm”或“Review_Comments_EER.doc”。
邮件正文常提示“请启用宏以查看完整格式”,利用学术用户对排版兼容性的需求诱导操作。
3.2 恶意宏载荷分析
捕获的.docm样本中,VBA宏代码经过多层混淆,典型结构如下:
Sub AutoOpen()
Dim x As String, y As String
x = "TVqQAAMAAAA...(长Base64字符串)"
y = DecodeBase64(x)
WriteToFile Environ("TEMP") & "\svchost.exe", y
Shell Environ("TEMP") & "\svchost.exe", vbHide
End Sub
Function DecodeBase64(ByVal strData As String) As Byte()
Dim objXML As Object
Set objXML = CreateObject("MSXML2.DOMDocument")
Dim objNode As Object
Set objNode = objXML.createElement("b64")
objNode.DataType = "bin.base64"
objNode.Text = strData
DecodeBase64 = objNode.nodeTypedValue
End Function
Sub WriteToFile(filePath As String, data() As Byte)
Dim fso As Object
Set fso = CreateObject("Scripting.FileSystemObject")
Dim ts As Object
Set ts = fso.CreateTextFile(filePath, True)
ts.Write BinaryToString(data)
ts.Close
End Sub
该宏首先解码内嵌的Base64 payload,将其写入%TEMP%目录下伪装为系统进程的“svchost.exe”,随后静默执行。此阶段不依赖外部下载,规避网络层检测。
3.3 后门功能与持久化
执行的二进制载荷经逆向确认为TrollDoor v3变种,主要功能包括:
枚举特定目录(如Desktop、Documents、OneDrive)中包含“policy”、“sanction”、“Eurasia”等关键词的.docx、.pdf文件;
截取Outlook通信记录(通过MAPI接口读取本地.pst文件);
定期截屏并压缩上传;
通过注册表项HKCU\Software\Microsoft\Windows\CurrentVersion\Run实现开机自启。
C2通信采用HTTPS,但证书为自签名,Host头伪装为Google Docs或Dropbox API地址,如:
POST /api/v1/documents HTTP/1.1
Host: docs.google.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Content-Type: application/octet-stream
实际流量经TLS解密后为加密的Protobuf格式,密钥硬编码于二进制中。
3.4 漏洞利用辅助
尽管宏本身不直接利用漏洞,但部分样本捆绑了CVE-2017-11882(Microsoft Office内存破坏漏洞)的exploit shellcode。当目标使用未打补丁的Office 2010/2013时,即使未启用宏,打开文档亦可触发RCE。这表明攻击者采用“双路径”策略:优先诱导启用宏,若失败则尝试漏洞利用。
4 防御机制有效性评估
4.1 宏策略管控
在测试环境中,我们配置三组策略:
A组:默认设置(宏提示用户);
B组:禁用所有宏(含数字签名);
C组:仅允许受信任发布者宏。
结果:A组中78%的模拟用户启用宏(基于历史点击率数据);B组完全阻断载荷执行;C组因攻击者无法获取有效代码签名证书,亦有效防御。
建议学术机构通过组策略(GPO)强制实施:
路径:用户配置 → 管理模板 → Microsoft Office 2016 → 安全设置 → VBA宏通知设置
策略:禁用所有宏,并发出通知
4.2 端点检测与响应(EDR)
部署主流EDR解决方案(如CrowdStrike、SentinelOne)后,TrollDoor载荷在写入磁盘阶段即被识别为“Suspicious Office Child Process”。关键检测规则包括:
Word.exe创建子进程svchost.exe(非常规行为);
写入%TEMP%的PE文件无数字签名;
进程尝试访问Outlook对象模型。
以下为YARA规则示例,用于检测恶意宏文档:
rule ForumTroll_Macro_Doc {
meta:
description = "Detects Operation ForumTroll malicious .docm"
strings:
$s1 = "AutoOpen" fullword ascii
$s2 = "MSXML2.DOMDocument" fullword ascii
$s3 = "bin.base64" fullword ascii
$s4 = "Environ(\"TEMP\")" fullword ascii
condition:
uint32(0) == 0xECA5D4C4 and // DOCFILE signature
all of ($s1, $s2, $s3, $s4)
}
4.3 网络层检测
尽管C2使用HTTPS,但其JA3指纹(TLS Client Hello哈希)与标准浏览器存在差异。通过部署Suricata IDS并加载JA3规则,可识别异常TLS握手:
alert tls any any -> any any (msg:"ForumTroll C2 JA3";
ja3.hash; content:"72a58a7f8c9d4e3b2a1c0f9e8d7c6b5a";
sid:1000001; rev:1;)
5 面向学术机构的三层防御框架
基于上述评估,本文提出以下防御体系:
第一层:预防层
全面禁用Office宏,除非有明确业务需求且经安全团队审批;
强制更新Office至最新版本,修补CVE-2017-11882、CVE-2021-40444等已知漏洞;
部署应用白名单,限制%TEMP%目录执行权限。
第二层:检测层
部署支持行为分析的EDR系统,监控Office子进程异常;
在邮件网关启用沙箱分析,对.doc/.docm附件动态执行检测;
建立学术邮件白名单机制,对非合作机构发来的“会议邀请”自动标记。
第三层:响应层
制定科研数据分类制度,敏感文档强制加密存储;
定期开展红蓝对抗演练,模拟钓鱼攻击以检验人员反应;
建立快速隔离流程,一旦发现感染主机,立即断网并取证。
6 讨论
Operation ForumTroll的复燃揭示了一个趋势:国家级APT组织正系统性地将学术界纳入情报收集链条。其攻击成功的关键并非技术复杂度,而在于对目标心理与工作流程的精准把握。学者追求学术交流的开放性与IT安全的封闭性之间存在天然张力,这为攻击者提供了可乘之机。
此外,俄罗斯部分高校仍广泛使用未授权或老旧版本的Office软件,加剧了漏洞暴露面。未来防御需超越纯技术视角,将安全策略嵌入科研管理流程,例如在科研项目立项阶段即纳入数据保护要求。
7 结语
Operation ForumTroll对俄罗斯学术界的定向攻击,体现了网络间谍活动向知识生产前端延伸的新动向。本文通过技术拆解证实,其攻击链虽依赖传统宏机制,但结合社会工程与漏洞利用,仍能高效突破防护薄弱的学术网络。实证表明,通过严格宏管控、部署行为检测系统及强化人员培训,可在不阻碍学术交流的前提下显著提升防御能力。学术自由不应以牺牲安全为代价,构建适配科研场景的安全架构,已成为全球高等教育机构的紧迫任务。
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
