Атаки були побудовані навколо нової вразливості в офісному програмному забезпеченні та маскувалися під службову кореспонденцію, пов'язану з безпекою й надзвичайними подіями, пише Cyber Press.

Дивіться також Шахраї розсилають повідомлення з реальної адреси Microsoft: як вони це роблять

Як працювала атака?

Російська державна хакерська група APT28, відома також як Fancy Bear, провела активну шпигунську операцію проти урядових і пов’язаних з обороною організацій у Польщі, Словенії, Туреччині, Греції, Об’єднаних Арабських Еміратах та в Україні.

Основною точкою входу стала вразливість CVE-2026-21509 у Microsoft Office, яка дозволяла обходити механізми безпеки без використання макросів або будь-яких попереджень для користувача.

APT28 змогла інтегрувати експлойт у свою інфраструктуру менш ніж за 24 години після публічного розкриття проблеми 26 січня 2026 року. Це дало змогу запускати довільний код через OLE-об’єкти в документах RTF і DOC. Шкідливі файли відкривали шлях до завантаження компонентів атаки з віддалених серверів за допомогою WebDAV.

  • Жертвам надходили фішингові листи з вкладеннями на кшталт "BULLETEN_H.doc".
  • Після відкриття такого файлу система автоматично завантажувала LNK-ярлики та бібліотеку SimpleLoader.
  • Цей завантажувач використовував XOR-шифрування для прихованого розміщення файлів, зокрема EhStoreShell.dll, відомого як BeardShell, а також зображення SplashScreen.png, у якому зловмисники сховали виконуваний Shell-код.
  • BeardShell проводив перевірки на наявність пісочниць і систем аналізу, зокрема через затримки виконання та перевірку активних процесів.
  • Далі шкідливий код розбирав PNG-файл власними функціями, працюючи з заголовками, zlib-стисненням та інтерлейсингом, після чого запускав безфайловий .NET-лоадер через обхід структур PEB у пам’яті.

Наступним етапом інфікування ставав імплант Covenant типу Grunt. Для керування він застосовував шифровані канали з використанням RSA та AES і хмарне сховище filen.io як сервер управління. Завдання надходили у вигляді зашифрованих файлів, оброблялися виключно в оперативній пам’яті та дозволяли виконувати PowerShell-скрипти або .NET-збірки без залишення слідів на диску.

Microsoft Outlook також від ударом

Паралельно розгорталась окрема гілка атаки під назвою NotDoor, спрямована на Microsoft Outlook. SimpleLoader змінював налаштування реєстру, вимикаючи захист макросів, і видаляв файл VbaProject.OTM у каталозі %APPDATA%\Microsoft\Outlook.

Макроси активувалися під час входу в систему або отримання нових листів і пересилали вміст папок "Вхідні", "Чернетки", "Небажана пошта" та RSS-записи на контрольовані зловмисниками адреси, після чого знищували власні сліди.

Для закріплення в системі APT28 застосовувала COM-перехоплення CLSID у процесі explorer.exe та короткочасне завдання планувальника під назвою "OneDriveHealth". Після успішного проникнення виконувались команди збору інформації, такі як systeminfo та arp, а також ін’єкція коду в процес svchost.exe.

Що встигли зробити хакери?

За даними CERT-UA, з 28 по 30 січня 2026 року було зафіксовано 29 фішингових листів, надісланих із зламаних облікових записів у Румунії, Болівії та Україні.

Тематика приманок імітувала повідомлення про контрабанду зброї, військові запрошення, консультації НАТО та попередження про повені. Деякі листи містили двомовні документи з офіційними печатками, що підвищувало довіру одержувачів.

CERT-UA пов’язує кампанію з кластером UAC-0001, вказуючи на збіги в коді декодера PNG та використання хмарної інфраструктури для управління.

Фахівці з кібербезпеки рекомендують негайно оновити Microsoft Office, примусово заблокувати макроси, перевірити системи на наявність індикаторів компрометації та використовувати антивірусні рішення з актуальними сигнатурами, зокрема для виявлення шкідливих документів.