/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F7c8cc3a620cfc2267ee5480d0b1bca4d.jpg)
Російські державні хакери використали нову вразливість Microsoft Office проти урядів Європи
Атаки були побудовані навколо нової вразливості в офісному програмному забезпеченні та маскувалися під службову кореспонденцію, пов'язану з безпекою й надзвичайними подіями, пише Cyber Press.
Як працювала атака?
Російська державна хакерська група APT28, відома також як Fancy Bear, провела активну шпигунську операцію проти урядових і пов’язаних з обороною організацій у Польщі, Словенії, Туреччині, Греції, Об’єднаних Арабських Еміратах та в Україні.
Основною точкою входу стала вразливість CVE-2026-21509 у Microsoft Office, яка дозволяла обходити механізми безпеки без використання макросів або будь-яких попереджень для користувача.
APT28 змогла інтегрувати експлойт у свою інфраструктуру менш ніж за 24 години після публічного розкриття проблеми 26 січня 2026 року. Це дало змогу запускати довільний код через OLE-об’єкти в документах RTF і DOC. Шкідливі файли відкривали шлях до завантаження компонентів атаки з віддалених серверів за допомогою WebDAV.
- Жертвам надходили фішингові листи з вкладеннями на кшталт "BULLETEN_H.doc".
- Після відкриття такого файлу система автоматично завантажувала LNK-ярлики та бібліотеку SimpleLoader.
- Цей завантажувач використовував XOR-шифрування для прихованого розміщення файлів, зокрема EhStoreShell.dll, відомого як BeardShell, а також зображення SplashScreen.png, у якому зловмисники сховали виконуваний Shell-код.
- BeardShell проводив перевірки на наявність пісочниць і систем аналізу, зокрема через затримки виконання та перевірку активних процесів.
- Далі шкідливий код розбирав PNG-файл власними функціями, працюючи з заголовками, zlib-стисненням та інтерлейсингом, після чого запускав безфайловий .NET-лоадер через обхід структур PEB у пам’яті.
Наступним етапом інфікування ставав імплант Covenant типу Grunt. Для керування він застосовував шифровані канали з використанням RSA та AES і хмарне сховище filen.io як сервер управління. Завдання надходили у вигляді зашифрованих файлів, оброблялися виключно в оперативній пам’яті та дозволяли виконувати PowerShell-скрипти або .NET-збірки без залишення слідів на диску.
Microsoft Outlook також від ударом
Паралельно розгорталась окрема гілка атаки під назвою NotDoor, спрямована на Microsoft Outlook. SimpleLoader змінював налаштування реєстру, вимикаючи захист макросів, і видаляв файл VbaProject.OTM у каталозі %APPDATA%\Microsoft\Outlook.
Макроси активувалися під час входу в систему або отримання нових листів і пересилали вміст папок "Вхідні", "Чернетки", "Небажана пошта" та RSS-записи на контрольовані зловмисниками адреси, після чого знищували власні сліди.
Для закріплення в системі APT28 застосовувала COM-перехоплення CLSID у процесі explorer.exe та короткочасне завдання планувальника під назвою "OneDriveHealth". Після успішного проникнення виконувались команди збору інформації, такі як systeminfo та arp, а також ін’єкція коду в процес svchost.exe.
Що встигли зробити хакери?
За даними CERT-UA, з 28 по 30 січня 2026 року було зафіксовано 29 фішингових листів, надісланих із зламаних облікових записів у Румунії, Болівії та Україні.
Тематика приманок імітувала повідомлення про контрабанду зброї, військові запрошення, консультації НАТО та попередження про повені. Деякі листи містили двомовні документи з офіційними печатками, що підвищувало довіру одержувачів.
CERT-UA пов’язує кампанію з кластером UAC-0001, вказуючи на збіги в коді декодера PNG та використання хмарної інфраструктури для управління.
Фахівці з кібербезпеки рекомендують негайно оновити Microsoft Office, примусово заблокувати макроси, перевірити системи на наявність індикаторів компрометації та використовувати антивірусні рішення з актуальними сигнатурами, зокрема для виявлення шкідливих документів.

