Российские хакеры атаковали государственные учреждения в 9 странах из-за уязвимости Microsoft Office. Украина среди жертв

Хакерская группа, известная как APT28, Fancy Bear, Sednit, Forest Blizzard и Sofacy, воспользовалась уязвимостью CVE-2026-21509 менее чем через 48 часов после того, как Microsoft выпустила экстренное внеплановое обновление безопасности в конце прошлого месяца. По мнению исследователей, после реверс-инжиниринга патча члены группы создали сложный эксплойт, который устанавливал один из двух ранее неизвестных бэкдоров, пишет Ars Technica.

Вся кампания была разработана для того, чтобы сделать взлом невидимым для инструментов защиты конечных точек. Помимо своей новизны, эксплойты и полезные данные были зашифрованы и запускались непосредственно в оперативной памяти, что затрудняло обнаружение угрозы. Первоначальным вектором заражения стали ранее скомпрометированные правительственные аккаунты нескольких стран, которые, вероятно, были известны владельцам целевых почтовых ящиков. Каналы управления и контроля размещались на законных облачных сервисах, которые обычно вносятся в белый список защищенных сетей.

«Эксплуатация CVE-2026-21509 демонстрирует, как быстро связанные с государством группы могут использовать новые уязвимости в качестве оружия, сужая окно возможностей для защиты критически важных систем», — заявили исследователи из компании по кибербезопасности Trellix. «Модульная цепочка заражения этой кампании — от первоначального фишинга до бэкдора в память и установки вторичных имплантатов — была тщательно разработана с учетом использования доверенных каналов (трафик HTTPS к облачным сервисам, законные почтовые потоки) и бесфайловых методов, чтобы оставаться невидимыми на виду».

72-часовая фишинговая кампания началась 28 января и доставила как минимум 29 различных фишинговых писем организациям в девяти странах, в основном в Восточной Европе. Trellix назвал восемь из них: Польшу, Словению, Турцию, Грецию, ОАЭ, Украину, Румынию и Боливию. Целевыми организациями были министерства обороны (40%), операторы транспорта/логистики (35%) и дипломатические учреждения (25%).

Конечной целью атаки было внедрение бэкдоров BeardShell или NotDoor. С помощью BeardShell хакеры получили полный доступ к системным данным и закрепились в них, «вживив» свой код в системный процесс Windows svchost.exe. Это также дало им доступ к другим компьютерам в сети организации. Вирус был чрезвычайно чистым: он использовал технологию .NET для запуска непосредственно в памяти, поэтому на жестком диске не осталось никаких следов, которые специалисты по кибербезопасности могли бы обнаружить при проверке.

NotDoor имел форму макроса VBA и был установлен только после того, как цепочка эксплойтов отключила элементы управления безопасностью макросов в Outlook. После установки имплант отслеживал папки электронной почты, включая «Входящие», «Черновики», «Спам» и RSS-каналы. Он объединил сообщения в файл Windows .msg, который затем был отправлен на контролируемые злоумышленниками учетные записи в облачном сервисе filen.io.

Чтобы обойти системы безопасности привилегированных учетных записей, предназначенные для ограничения доступа к секретным отправлениям и другим конфиденциальным документам, макрос обрабатывал письма с использованием настраиваемого свойства «AlreadyForwarded» и устанавливал для параметра «DeleteAfterSubmit» значение true, чтобы удалять пересланные сообщения из папки «Отправленные».

Исследователи Trellix твердо уверены, что за атакой стоит APT28. Такого мнения придерживается украинский центр CERT-UA, где кампания отслеживается под названием UAC-0001, которое является прямым аналогом группы APT28.

«APT28 имеет долгую историю проведения операций по кибершпионажу и оказанию влияния», — отмечает Трелликс. «Методы, использованные в этой кампании — многоэтапное вредоносное ПО, обширная обфускация, злоупотребление облачными сервисами и атаки на почтовые системы для поддержания постоянного присутствия — предполагают наличие хорошо обеспеченного ресурсами и продвинутого противника, который полностью соответствует профилю APT28. Набор инструментов и методов также совпадает с «цифровым следом» этой группы».