Росіяни використали вразливість Microsoft для атак на державні та дипломатичні установи у дев’яти країнах. Про це повідомляє Ars Technica. Розповідаємо деталі.
Що сталося
Пов’язане з російським урядом хакерське угруповання APT28 здійснило кібератаку на державні установи щонайменше у дев’яти країнах, використавши критичну вразливість у Microsoft Office.
Зловмисники скористалися вразливістю CVE-2026-21509 менш ніж через 48 годин після того, як Microsoft наприкінці січня випустила термінове позапланове оновлення безпеки. За даними Ars Technica, хакери провели зворотне проєктування патчу та створили складний експлойт, який дозволяв непомітно встановлювати на комп’ютери жертв один із двох раніше невідомих бекдорів — шкідливих програм, що забезпечують прихований віддалений доступ до системи.
Йдеться про два бекдори — BeardShell та NotDoor:
- BeardShell забезпечував повний контроль над системою та впроваджувався у процес Windows svchost.exe, що дозволяло поширюватися мережею організації. Він працював як безфайлове шкідливе ПЗ на базі .NET і не залишав слідів на жорсткому диску.
- NotDoor маскувався під макрос VBA в Outlook і активувався після обходу вбудованих механізмів безпеки. Після цього він відстежував поштові теки користувача, об’єднував листи у файли формату .msg та передавав їх на контрольовані зловмисниками акаунти у хмарному сервісі filen.io.
Уся кампанія була побудована так, щоб ускладнити виявлення атаки. Шкідливий код запускався безпосередньо в оперативній пам’яті, не залишаючи файлів на диску, а експлойти та корисне навантаження були зашифровані. Для керування зараженими системами хакери використовували легітимні хмарні сервіси, які зазвичай перебувають у «білих списках» корпоративних мереж і не викликають підозр у засобів захисту.
Чому це цікаво
Початковим вектором атаки стали зламані урядові електронні поштові акаунти, з яких надсилалися фішингові листи. Кампанія тривала близько 72 годин і розпочалася 28 січня. За цей час зловмисники надіслали щонайменше 29 різних листів організаціям у дев’яти країнах, переважно у Східній Європі. За даними Ars Technica, атаки були спрямовані проти організацій у Польщі, Словенії, Туреччині, Греції, ОАЕ, Україні, Румунії та Болівії.
Основними цілями стали:
- міністерства оборони — 40%;
- транспортні та логістичні оператори — 35%;
- дипломатичні установи — 25%.
Кінцевою метою кампанії було довготривале закріплення в мережах жертв і доступ до конфіденційної інформації. Дослідники з високою ймовірністю пов’язують атаку з угрупованням APT28 — цю ж кампанію в українському центрі CERT-UA відстежують під назвою UAC-0001.
Нагадаємо, нещодавно Microsoft підтвердила випуск екстрених оновлень для більшості ПК на Windows після проблем, які виникли через січневі оновлення безпеки, зокрема зі входом у систему та вимкненням пристроїв. Деталі розповідаємо тут.