Руски хакери се възползваха от спешна поправка за Office

Павлин Луканов Последна промяна на 05 февруари 2026 в 20:19 557 0

Руски хакери се възползваха от спешна поправка за Office

Снимка DC Studio/Freepik

Руски хакери се възползваха от спешна поправка за Office

Руски хакери не са губили време да се възползват от критична уязвимост в Microsoft Office, която им е позволила да компрометират устройствата в дипломатически, морски и транспортни организации в редица страни.

Групата, проследявана под имена като APT28, Fancy Bear, Sednit, Forest Blizzard и Sofacy, се възползва от уязвимостта, проследявана като CVE-2026-21509, по-малко от 48 часа след като Microsoft пусна спешна, непланирана актуализация за сигурност в края на миналия месец, заявиха изследователите. След обратно инженерство на поправката, членовете на групата написаха усъвършенстван експлойт, който инсталира един от двата невиждани досега импланта от тип back door.

Цялата кампания е проектирана така, че компрометирането да не може да бъде засечено от защитата на крайните точки. Освен че са нови, експлойтите и полезните товари са криптирани и се изпълняват в паметта, което правеше злонамереността им трудна за забелязване. Първоначалният вектор на инфекция е дошъл от предварително компрометирани правителствени акаунти от няколко държави и вероятно е бил познат на целевите притежатели на мейли. Каналите за командване и контрол са били хоствани в легитимни облачни услуги, които обикновено са разрешени в чувствителни мрежи.

72-часовата кампания за фишинг e започнала на 28 януари с поне 29 различни мейла с примамки до организации в девет държави, предимно в Източна Европа. Trellix назова осем от тях: Полша, Словения, Турция, Гърция, ОАЕ, Украйна, Румъния и Боливия. Целевите организации са министерства на отбраната (40%), транспортни/логистични оператори (35%) и дипломатически структури (25%).

Веригата на заразяване е довела до инсталирането на BeardShell или NotDoor – имената, които Trellix даде на новите задни врати. BeardShell дава на групата пълна система за разузнаване, устойчивост чрез инжектиране на процеси в Windows svchost.exe и възможност за странично придвижване към други системи в заразената мрежа. Имплантът е изпълнен чрез динамично заредени .NET сборки, които не оставят никакви дискови артефакти за криминалистична експертиза освен паметта от инжектирането на резидентен код.

NotDoor се появи под формата на VBA макрос и беше инсталиран едва след като веригата от експлойти деактивира макрос контролите за сигурност на Outlook. След инсталирането имплантът следи папките с мейли, включително „Входящи“, „Чернови“, „Нежелана поща“ и „RSS емисии“. Той обединява съобщенията в Windows .msg файл, който след това се изпращаше към контролирани от хакерите акаунти, създадени в облачната услуга filen.io.

Trellix приписва кампанията на APT28 с висока степен на увереност въз основа на технически показатели и избраните цели. Украинският CERT-UA също приписва атаките на UAC-0001, проследяващо име, което съответства на APT28.

Виж още за:
    За писането на коментар е необходима регистрация.
    Моля, регистрирайте се от TУК!
    Ако вече имате регистрация, натиснете ТУК!

    Няма коментари към тази новина !