Хакерская группировка APT28, связанная с российской военной разведкой, начала использовать недавно обнаруженную уязвимость в Microsoft Office для проведения кибератак на государственные структуры Украины и стран Европейского союза. Источник: The Record
Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) сообщила, что злоумышленники, также известные под названиями Fancy Bear, BlueDelta и Forest Blizzard, начали эксплуатировать брешь в безопасности под кодом CVE-2026-21509 почти сразу после того, как компания Microsoft заявила о ее существовании в начале января. Целями хакеров стали более 60 электронных адресов, большая часть которых принадлежит правительственным органам.
В ходе текущей кампании исследователи обнаружили вредоносные документы Microsoft Office, которые были замаскированы под официальную рассылку украинского гидрометеорологического центра. При открытии таких файлов на компьютерах запускалась вредоносная программа Covenant. Хотя изначально этот фреймворк предназначался для легитимных проверок систем безопасности, хакеры все чаще используют его в преступных целях. Специалисты компании Zscaler, занимающейся кибербезопасностью, подтвердили, что помимо Украины атаки зафиксированы в Словакии и Румынии. Для обмана сотрудников госорганов хакеры подготавливали фишинговые сообщения как на английском, так и на местных языках.
Эксперты выявили две основные цепочки атак. В первом случае использование уязвимости приводило к установке программы MiniDoor, которая собирает электронные адреса жертв и передает их на серверы злоумышленников. Вторая схема предполагала установку загрузчика PixyNetLoader, который в итоге внедрял в систему имплант Covenant. Группа APT28 ведет свою деятельность уже более двадцати лет и значительно активизировалась после начала полномасштабного вторжения России в Украину. Ранее власти Германии уже обвиняли эту группировку в атаке на национальную компанию по управлению воздушным движением, а в мае прошлого года хакеры атаковали почтовые серверы оборонных ведомств в Восточной Европе.
Несмотря на то, что компания Microsoft выпустила обновление, устраняющее данную проблему, Агентство по кибербезопасности и защите инфраструктуры США (CISA) уже внесло ее в каталог наиболее часто эксплуатируемых уязвимостей. Специалисты CERT-UA предупреждают, что интенсивность кибератак будет только расти, если пользователи и организации будут затягивать с установкой необходимых патчей безопасности. Своевременное обновление систем остается единственным надежным способом защиты от действий российских государственных хакеров на цифровом фронте.
Напомним, подразделение ГРУ стоит за хакерской атакой на энергетику Польшу.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet