Связанные с Россией злоумышленники уже используют новейшую уязвимость нулевого дня в Microsoft Office. Национальная команда по киберзащите Украины предупреждает, что та же самая ошибка применяется для атак на правительственные учреждения внутри страны и организации по всему ЕС.
В предупреждении, опубликованном в воскресенье, CERT-UA сообщает, что активность осуществляется группой UAC-0001, более известной как “APT28” или “Fancy Bear”, и связана с CVE-2026-21509 — ошибкой обхода функции безопасности в Microsoft Office, о которой Microsoft сообщила на прошлой неделе, предупредив, что злоумышленники уже используют ее в реальных атаках.
По данным CERT-UA, первый вредоносный документ появился всего через несколько дней после того, как Microsoft забила тревогу по поводу уязвимости. Файл под названием “Consultation_Topics_Ukraine(Final).doc” был опубликован 29 января и касался обсуждений в ЕС по Украине. Метаданные файла показывают, что он был создан 27 января — на следующий день после того, как Microsoft опубликовала подробности об уязвимости, что свидетельствует о том, что цепочка эксплойта уже была подготовлена и ожидала своего часа.
В тот же день украинские специалисты по реагированию на инциденты были уведомлены о параллельной фишинговой кампании, имитирующей официальную переписку Укргидрометцентра. Более 60 получателей, в основном из центральных органов власти, получили письма с вредоносным вложением DOC. Открытие файла в Office незаметно инициирует подключение WebDAV к внешнему серверу, загружает файл ярлыка и использует его как стартовую площадку для дальнейшего вредоносного ПО.
Оттуда злоумышленники разворачивают DLL, маскирующуюся под легитимный компонент Windows, и помещают шеллкод внутрь файла изображения, который выглядит безобидно. Затем они обеспечивают постоянство присутствия путем угона COM-объектов и запланированной задачи, которая перезапускает explorer.exe, гарантируя перезагрузку вредоносного кода. Большинство пользователей не заметят ничего необычного, но злоумышленники получат точку опоры, к которой смогут вернуться.
Конечным результатом является развертывание фреймворка постэксплуатации COVENANT, а злоумышленники маршрутизируют свой трафик через легитимный сервис облачного хранения, что помогает ему сливаться с обычным сетевым шумом, а не выглядеть как нечто явно враждебное. CERT-UA рекомендовала защитникам внимательно отслеживать трафик, связанный с Filen, или блокировать его везде, где это возможно.
Кампания не ограничилась Украиной. В последние дни января CERT-UA выявила еще три вредоносных документа, использующих ту же цепочку эксплойта и нацеленных на организации в странах-членах ЕС. В одном случае домен, обслуживающий полезную нагрузку, был зарегистрирован в тот же день, когда он использовался, что подчеркивает, как быстро злоумышленники меняют инфраструктуру.
Microsoft уже выпустила исправления, в том числе для старых версий Office, которые изначально оставались без поддержки, но CERT-UA по-прежнему не оптимистична относительно скорости их внедрения.
“Очевидно, что в ближайшем будущем, в том числе из-за инерции процесса или невозможности пользователей обновить пакет Microsoft Office и/или использовать рекомендуемые механизмы защиты, количество кибератак с использованием описанной уязвимости начнет расти”, — предупредили в CERT-UA. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
