Атаки были построены вокруг новой уязвимости в офисном программном обеспечении и маскировались под служебную корреспонденцию, связанную с безопасностью и чрезвычайными событиями, пишет Cyber Press.

Смотрите также Мошенники рассылают сообщения с реального адреса Microsoft: как они это делают

Как работала атака?

Российская государственная хакерская группа APT28, известная также как Fancy Bear, провела активную шпионскую операцию против правительственных и связанных с обороной организаций в Польше, Словении, Турции, Греции, Объединенных Арабских Эмиратах и в Украине.

Основной точкой входа стала уязвимость CVE-2026-21509 в Microsoft Office, которая позволяла обходить механизмы безопасности без использования макросов или каких-либо предупреждений для пользователя.

APT28 смогла интегрировать эксплойт в свою инфраструктуру менее чем за 24 часа после публичного раскрытия проблемы 26 января 2026 года. Это позволило запускать произвольный код через OLE-объекты в документах RTF и DOC. Вредоносные файлы открывали путь к загрузке компонентов атаки с удаленных серверов с помощью WebDAV.

  • Жертвам поступали фишинговые письма с вложениями вроде "BULLETEN_H.doc".
  • После открытия такого файла система автоматически загружала LNK-ярлыки и библиотеку SimpleLoader.
  • Этот загрузчик использовал XOR-шифрование для скрытого размещения файлов, в частности EhStoreShell.dll, известного как BeardShell, а также изображение SplashScreen.png, в котором злоумышленники спрятали исполняемый Shell-код.
  • BeardShell проводил проверки на наличие песочниц и систем анализа, в частности через задержки выполнения и проверку активных процессов.
  • Далее вредоносный код разбирал PNG-файл собственными функциями, работая с заголовками, zlib-сжатием и интерлейсингом, после чего запускал безфайловый .NET-лоадер через обход структур PEB в памяти.

Следующим этапом инфицирования становился имплант Covenant типа Grunt. Для управления он применял шифрованные каналы с использованием RSA и AES и облачное хранилище filen.io в качестве сервера управления. Задания поступали в виде зашифрованных файлов, обрабатывались исключительно в оперативной памяти и позволяли выполнять PowerShell-скрипты или .NET-сборки без оставления следов на диске.

Microsoft Outlook также под ударом

Параллельно разворачивалась отдельная ветка атаки под названием NotDoor, направленная на Microsoft Outlook. SimpleLoader изменял настройки реестра, выключая защиту макросов, и удалял файл VbaProject.OTM в каталоге %APPDATA%\Microsoft\Outlook.

Макросы активировались при входе в систему или получении новых писем и пересылали содержимое папок "Входящие", "Черновики", "Нежелательная почта" и RSS-записи на контролируемые злоумышленниками адреса, после чего уничтожали собственные следы.

Для закрепления в системе APT28 применяла COM-перехват CLSID в процессе explorer.exe и кратковременное задание планировщика под названием "OneDriveHealth". После успешного проникновения выполнялись команды сбора информации, такие как systeminfo и arp, а также инъекция кода в процесс svchost.exe.

Что успели сделать хакеры?

По данным CERT-UA, с 28 по 30 января 2026 года было зафиксировано 29 фишинговых писем, отправленных со взломанных учетных записей в Румынии, Боливии и Украине.

Тематика приманок имитировала сообщения о контрабанде оружия, военные приглашения, консультации НАТО и предупреждения о наводнениях. Некоторые письма содержали двуязычные документы с официальными печатями, что повышало доверие получателей.

CERT-UA связывает кампанию с кластером UAC-0001, указывая на совпадения в коде декодера PNG и использование облачной инфраструктуры для управления.

Специалисты по кибербезопасности рекомендуют немедленно обновить Microsoft Office, принудительно заблокировать макросы, проверить системы на наличие индикаторов компрометации и использовать антивирусные решения с актуальными сигнатурами, в частности для выявления вредоносных документов.