Російські державні хакери використали нову вразливість Microsoft Office проти урядів Європи
Російські державні хакери використали нову вразливість Microsoft Office проти урядів Європи

Російські державні хакери використали нову вразливість Microsoft Office проти урядів Європи

Атаки були побудовані навколо нової вразливості в офісному програмному забезпеченні та маскувалися під службову кореспонденцію, пов'язану з безпекою й надзвичайними подіями, пише Cyber Press.

Як працювала атака?

Російська державна хакерська група APT28, відома також як Fancy Bear, провела активну шпигунську операцію проти урядових і пов’язаних з обороною організацій у Польщі, Словенії, Туреччині, Греції, Об’єднаних Арабських Еміратах та в Україні.

Основною точкою входу стала вразливість CVE-2026-21509 у Microsoft Office, яка дозволяла обходити механізми безпеки без використання макросів або будь-яких попереджень для користувача.

APT28 змогла інтегрувати експлойт у свою інфраструктуру менш ніж за 24 години після публічного розкриття проблеми 26 січня 2026 року. Це дало змогу запускати довільний код через OLE-об’єкти в документах RTF і DOC. Шкідливі файли відкривали шлях до завантаження компонентів атаки з віддалених серверів за допомогою WebDAV.

  • Жертвам надходили фішингові листи з вкладеннями на кшталт "BULLETEN_H.doc".
  • Після відкриття такого файлу система автоматично завантажувала LNK-ярлики та бібліотеку SimpleLoader.
  • Цей завантажувач використовував XOR-шифрування для прихованого розміщення файлів, зокрема EhStoreShell.dll, відомого як BeardShell, а також зображення SplashScreen.png, у якому зловмисники сховали виконуваний Shell-код.
  • BeardShell проводив перевірки на наявність пісочниць і систем аналізу, зокрема через затримки виконання та перевірку активних процесів.
  • Далі шкідливий код розбирав PNG-файл власними функціями, працюючи з заголовками, zlib-стисненням та інтерлейсингом, після чого запускав безфайловий .NET-лоадер через обхід структур PEB у пам’яті.

Наступним етапом інфікування ставав імплант Covenant типу Grunt. Для керування він застосовував шифровані канали з використанням RSA та AES і хмарне сховище filen.io як сервер управління. Завдання надходили у вигляді зашифрованих файлів, оброблялися виключно в оперативній пам’яті та дозволяли виконувати PowerShell-скрипти або .NET-збірки без залишення слідів на диску.

Microsoft Outlook також від ударом

Паралельно розгорталась окрема гілка атаки під назвою NotDoor, спрямована на Microsoft Outlook. SimpleLoader змінював налаштування реєстру, вимикаючи захист макросів, і видаляв файл VbaProject.OTM у каталозі %APPDATA%\Microsoft\Outlook.

Макроси активувалися під час входу в систему або отримання нових листів і пересилали вміст папок "Вхідні", "Чернетки", "Небажана пошта" та RSS-записи на контрольовані зловмисниками адреси, після чого знищували власні сліди.

Для закріплення в системі APT28 застосовувала COM-перехоплення CLSID у процесі explorer.exe та короткочасне завдання планувальника під назвою "OneDriveHealth". Після успішного проникнення виконувались команди збору інформації, такі як systeminfo та arp, а також ін’єкція коду в процес svchost.exe.

Що встигли зробити хакери?

За даними CERT-UA, з 28 по 30 січня 2026 року було зафіксовано 29 фішингових листів, надісланих із зламаних облікових записів у Румунії, Болівії та Україні.

Тематика приманок імітувала повідомлення про контрабанду зброї, військові запрошення, консультації НАТО та попередження про повені. Деякі листи містили двомовні документи з офіційними печатками, що підвищувало довіру одержувачів.

CERT-UA пов’язує кампанію з кластером UAC-0001, вказуючи на збіги в коді декодера PNG та використання хмарної інфраструктури для управління.

Фахівці з кібербезпеки рекомендують негайно оновити Microsoft Office, примусово заблокувати макроси, перевірити системи на наявність індикаторів компрометації та використовувати антивірусні рішення з актуальними сигнатурами, зокрема для виявлення шкідливих документів.

Теги за темою
Техно Інтернет
Джерело матеріала
loader
loader