Руски хакери не са губили време да се възползват от критична уязвимост в Microsoft Office, която им е позволила да компрометират устройствата в дипломатически, морски и транспортни организации в редица страни.
Групата, проследявана под имена като APT28, Fancy Bear, Sednit, Forest Blizzard и Sofacy, се възползва от уязвимостта, проследявана като CVE-2026-21509, по-малко от 48 часа след като Microsoft пусна спешна, непланирана актуализация за сигурност в края на миналия месец, заявиха изследователите. След обратно инженерство на поправката, членовете на групата написаха усъвършенстван експлойт, който инсталира един от двата невиждани досега импланта от тип back door.
Цялата кампания е проектирана така, че компрометирането да не може да бъде засечено от защитата на крайните точки. Освен че са нови, експлойтите и полезните товари са криптирани и се изпълняват в паметта, което правеше злонамереността им трудна за забелязване. Първоначалният вектор на инфекция е дошъл от предварително компрометирани правителствени акаунти от няколко държави и вероятно е бил познат на целевите притежатели на мейли. Каналите за командване и контрол са били хоствани в легитимни облачни услуги, които обикновено са разрешени в чувствителни мрежи.
72-часовата кампания за фишинг e започнала на 28 януари с поне 29 различни мейла с примамки до организации в девет държави, предимно в Източна Европа. Trellix назова осем от тях: Полша, Словения, Турция, Гърция, ОАЕ, Украйна, Румъния и Боливия. Целевите организации са министерства на отбраната (40%), транспортни/логистични оператори (35%) и дипломатически структури (25%).
Веригата на заразяване е довела до инсталирането на BeardShell или NotDoor – имената, които Trellix даде на новите задни врати. BeardShell дава на групата пълна система за разузнаване, устойчивост чрез инжектиране на процеси в Windows svchost.exe и възможност за странично придвижване към други системи в заразената мрежа. Имплантът е изпълнен чрез динамично заредени .NET сборки, които не оставят никакви дискови артефакти за криминалистична експертиза освен паметта от инжектирането на резидентен код.
NotDoor се появи под формата на VBA макрос и беше инсталиран едва след като веригата от експлойти деактивира макрос контролите за сигурност на Outlook. След инсталирането имплантът следи папките с мейли, включително „Входящи“, „Чернови“, „Нежелана поща“ и „RSS емисии“. Той обединява съобщенията в Windows .msg файл, който след това се изпращаше към контролирани от хакерите акаунти, създадени в облачната услуга filen.io.
Trellix приписва кампанията на APT28 с висока степен на увереност въз основа на технически показатели и избраните цели. Украинският CERT-UA също приписва атаките на UAC-0001, проследяващо име, което съответства на APT28.












Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари