Хакерская группа APT28, продемонстрировала исключительно высокую скорость разработки эксплойтов. Всего за три дня они адаптировали свежую уязвимость в Microsoft Office для боевых операций. К концу января серия атак затронула Украину, Словакию и Румынию и активность сохраняется до сих пор.
Хронология инцидента Microsoft выпустила экстренное обновление для CVE-2026-21509 26 января 2026 года. Уже в понедельник, 29 января, CERT-UA зафиксировал начало массированной кампании. Анализ метаданных одного из перехваченных документов показал, что он был скомпилирован 27 января, практически сразу после выхода анализа патча.
Уязвимость CVE-2026-21509 позволяет обойти механизмы защиты Microsoft Office. Злоумышленники могут выполнить произвольный код через специально сформированный файл .doc или .rtf. Ключевая особенность: атака не требует макросов. Вредоносный файл отключает защиту от OLE-объектов и автоматически запускает цепочку заражения при открытии документа.
Группировка использовала качественную социальную инженерию:
- Документ
Consultation_Topics_Ukraine(Final).doc: Рассылался под видом материалов консультаций COREPER (Комитет постоянных представителей ЕС) по ситуации в Украине. - Документ
BULLETEN_H.doc: Письма от имени Украинского гидрометеоцентра, разосланные на 60+ адресов государственных органов.
Технически атака реализуется через протокол WebDAV. При открытии файла скачивается ярлык, который подгружает вредоносную библиотеку EhStoreShell.dll и шелл-код, замаскированный под картинку SplashScreen.png. Для закрепления в системе используется перехват COM-объектов и создание задачи в планировщике под легитимным именем OneDriveHealth.
Исследователи Zscaler выделили два вектора атаки через RTF-файлы:
- Шпионаж (MiniDoor): Устанавливается упрощенная версия бэкдора NotDoor. Он скрытно сканирует папки Outlook («Входящие», «Спам», «Черновики») и пересылает письма на сервера хакеров. Цель, получение разведданных из переписки чиновников.
- Полный контроль (Covenant Grunt): Разворачивается фреймворк постэксплуатации, дающий полный доступ к системе (RCE). Управление осуществляется через API облачного хранилища Filen, что позволяет маскировать трафик под легитимную работу с файлами.
Вредоносная полезная нагрузка скачивается только в том случае, если запрос исходит с IP-адресов целевых стран (Украина, Словакия, Румыния) и содержит правильный User-Agent. Исследователи из других регионов получают пустой ответ от сервера.
Украинский CERT-UA уверенно атрибутирует атаку группе UAC-0001 (также известной как APT28, Fancy Bear, Sofacy). Это подразделение ГРУ РФ, ответственное за взлом Демпартии США в 2016 году и многочисленные операции против НАТО. Скорость реакции на патч (менее 72 часов) указывает на крайне высокую техническую квалификацию группы или наличие инсайда об уязвимости до её публикации.
Microsoft закрыла уязвимость в версиях Office 2016–2024 и Microsoft 365 Apps. Важно: Для версий 2021 и выше обновление применится только после полного перезапуска приложений Office.
Компенсирующие меры (если патч невозможен):
- Заблокировать исходящие WebDAV-подключения на периметре.
- Настроить политики AppLocker/WDAC на запрет запуска файлов из Downloads и Temp.
- Мониторить обращения к домену
filen[.]ioи создание задач OneDriveHealth. - Проверить почтовый трафик на наличие RTF/DOC вложений с 24 января.
