Эхбари
Sunday, 05 July 2026
Breaking

Российские государственные хакеры использовали срочное исправление Microsoft Office, скомпрометировав глобальные организации

Сложная атака на дипломатические, морские и транспортные орг

Российские государственные хакеры использовали срочное исправление Microsoft Office, скомпрометировав глобальные организации
عبد الفتاح يوسف
2026-02-06 22:31
4

Мир - Информационное агентство Эхбари

Российские государственные хакеры использовали срочное исправление Microsoft Office, скомпрометировав глобальные организации

В яркой иллюстрации возрастающей скорости и изощренности кибервойны, спонсируемой государством, известная российская хакерская группа, широко известная как APT28 или Fancy Bear, не теряла времени, чтобы использовать критическую уязвимость Microsoft Office. Менее чем через 48 часов после того, как в прошлом месяце Microsoft выпустила срочное, внеплановое обновление безопасности, злоумышленники вооружили уязвимость, идентифицированную как CVE-2026-21509, для запуска высокоцелевой кампании. Эта дерзкая операция успешно скомпрометировала устройства в дипломатических, морских и транспортных организациях как минимум в девяти странах, в основном в Восточной Европе, что подчеркивает сокращающееся окно для защитников, чтобы исправить критические системы.

Исследователи безопасности из Trellix раскрыли детали этой быстрой эксплуатации, подчеркнув способность группы провести обратный инжиниринг исправления Microsoft в течение двух дней и разработать передовые эксплойты. Эти эксплойты затем установили два новых, ранее не встречавшихся бэкдора, названных BeardShell и NotDoor. Вся кампания была тщательно разработана для скрытности, используя методы, которые делали компрометацию практически необнаруживаемой обычными средствами защиты конечных точек. Это включало шифрование эксплойтов и полезных нагрузок, их выполнение исключительно в памяти и использование казалось бы законных каналов для командования и управления, что делало их злонамеренные намерения исключительно трудными для обнаружения.

Первоначальный вектор этого сложного вторжения часто исходил из ранее скомпрометированных государственных учетных записей в различных странах, что предполагает, что злоумышленники использовали существующие взломы или учетные данные, которые, вероятно, были знакомы целевым получателям электронной почты. Кроме того, инфраструктура командования и управления размещалась в легитимных облачных сервисах, которые обычно находятся в белых списках в чувствительных сетях, что позволяло вредоносному трафику беспрепятственно смешиваться с обычной сетевой активностью. Этот стратегический выбор доверенных каналов в сочетании с бестелесными методами позволил злоумышленникам «скрываться на виду», как отметили исследователи Trellix.

72-часовая фишинговая кампания началась 28 января и доставила не менее 29 различных приманок по электронной почте организациям в девяти странах, преимущественно в Восточной Европе. Trellix конкретно назвала восемь из них: Польша, Словения, Турция, Греция, ОАЭ, Украина, Румыния и Боливия. Основными целями были министерства обороны (40 процентов атак), операторы транспорта и логистики (35 процентов) и дипломатические учреждения (25 процентов). Этот профиль целевого воздействия идеально соответствует геополитическим целям, часто связанным с государственными акторами, такими как APT28, которые часто занимаются кибершпионажем против организаций, имеющих решающее значение для национальной безопасности и международных отношений.

Успех цепочки заражения привел к развертыванию либо BeardShell, либо NotDoor. BeardShell, мощный бэкдор, предоставил злоумышленникам обширные возможности для разведки системы, сохранения присутствия путем внедрения процессов в Windows svchost.exe и решающую точку опоры для бокового перемещения по зараженным сетям. Его выполнение основывалось на динамически загружаемых сборках .NET, методе, предназначенном для оставления минимальных судебных артефактов на диске, что еще больше усложняло обнаружение и анализ со стороны групп безопасности. Эта операция в памяти является отличительной чертой продвинутых постоянных угроз (APT), стремящихся обойти традиционные инструменты безопасности.

NotDoor, второй бэкдор, проявлялся в виде макроса VBA. Он был установлен только после того, как цепочка эксплойтов успешно отключила элементы управления безопасностью макросов Outlook — критический шаг, демонстрирующий глубокое понимание злоумышленниками уязвимостей почтовых клиентов. После активации NotDoor тщательно отслеживал папки электронной почты, включая «Входящие», «Черновики», «Нежелательная почта» и «RSS-каналы». Затем он объединял сообщения в файлы Windows .msg, которые затем отправлялись на контролируемые злоумышленниками учетные записи, размещенные в облачном сервисе filen.io. Чтобы обойти меры безопасности на учетных записях с высокими привилегиями, предназначенные для защиты секретных сообщений и других конфиденциальных документов, макрос обрабатывал электронные письма с настраиваемым свойством «AlreadyForwarded» и устанавливал «DeleteAfterSubmit» в значение «истина», чтобы очистить пересылаемые сообщения из папки «Отправленные», тем самым стирая следы эксфильтрации.

Trellix приписала кампанию APT28 с «высокой степенью уверенности», основываясь на совокупности технических индикаторов и наблюдаемых конкретных схемах таргетинга. Это приписывание было дополнительно подтверждено украинским CERT-UA, который независимо связал атаки с UAC-0001, другим названием для отслеживания, соответствующим APT28. APT28, также известная как Fancy Bear, Sednit, Forest Blizzard и Sofacy, имеет хорошо задокументированную историю кибершпионажа и операций влияния, часто связанных с интересами российского государства. Их modus operandi обычно включает сложное многоэтапное вредоносное ПО, обширное обфускацию, злоупотребление законными облачными сервисами и постоянное нацеливание на системы электронной почты для достижения своих целей.

Мастерство, использованное в этой кампании, характеризующееся быстрым вооружением уязвимости нулевого дня (или почти нулевого дня), использованием новых имплантатов, безфайловым выполнением и эксплуатацией доверенных каналов, отражает возможности высокоресурсного и продвинутого противника. Этот инцидент служит критическим напоминанием для организаций по всему миру о необходимости своевременного применения исправлений, повышения их возможностей обнаружения угроз для выявления атак в памяти и без файлов, а также усиления защиты от сложных попыток фишинга. Кибербезопасные фирмы, такие как Trellix, постоянно предоставляют обновленные индикаторы компрометации (IOC), чтобы помочь организациям выявлять и смягчать потенциальные угрозы от этого постоянного и развивающегося противника.

Ключевые слова: # cyber attack # data breach # Russian hackers # Microsoft Office vulnerability # digital espionage