Хакерське угруповання, відоме під назвами APT28, Fancy Bear, Sednit, Forest Blizzard та Sofacy, скористалося вразливістю CVE-2026-21509 менш ніж за 48 годин після того, як Microsoft випустила термінове позапланове оновлення безпеки наприкінці минулого місяця. За словами дослідників, провівши зворотне проєктування патчу, учасники групи створили складний експлойт, який встановлював один із двох раніше невідомих бекдорів, пише Ars Technica.
Читайте также: Україна й Польща запустять спільне виробництво дронів
Вся кампанія була розроблена так, щоб злам залишався непомітним для засобів захисту кінцевих точок. Крім своєї новизни, експлойти та шкідливе навантаження були зашифровані та запускалися безпосередньо в оперативній пам’яті, що ускладнювало виявлення загрози. Початковим вектором зараження стали раніше зламані урядові акаунти кількох країн, які, ймовірно, були знайомі власникам цільових електронних скриньок. Канали керування та контролю розміщувалися на легітимних хмарних сервісах, які зазвичай входять до «білих списків» у захищених мережах.
«Використання CVE-2026-21509 демонструє, як швидко пов’язані з державою угруповання здатні перетворювати нові вразливості на зброю, звужуючи вікно можливостей для захисту критично важливих систем», — зазначили дослідники компанії з кібербезпеки Trellix. «Модульний ланцюжок зараження цієї кампанії — від початкового фішингу до завантаження бекдора в пам’ять та встановлення вторинних імплантів — був ретельно розроблений для використання довірених каналів (HTTPS-трафік до хмарних сервісів, легітимні потоки пошти) та безфайлових методів, щоб залишатися непомітним у всіх на виду».
72-годинна фішингова кампанія розпочалася 28 січня та доставила щонайменше 29 різних електронних листів-приманок організаціям у дев’яти країнах, переважно у Східній Європі. Trellix назвав вісім з них: Польща, Словенія, Туреччина, Греція, ОАЕ, Україна, Румунія та Болівія. Цільовими організаціями були міністерства оборони (40%), оператори транспорту/логістики (35%) та дипломатичні установи (25%).
Кінцевою метою атаки було впровадження бекдорів BeardShell або NotDoor. За допомогою BeardShell хакери отримували повний доступ до даних системи та закріплювалися в ній, «вживляючи» свій код у системний процес Windows svchost.exe. Це також відкривало їм шлях до інших комп’ютерів у мережі організації. Вірус працював надзвичайно чисто: він використовував технологію .NET для запуску безпосередньо в пам’яті, тому на жорсткому диску не лишалося жодних слідів, які могли б знайти експерти з кібербезпеки під час перевірки.
NotDoor мав вигляд макросу VBA і встановлювався лише після того, як ланцюжок експлуатації вимикав засоби контролю безпеки макросів в Outlook. Після інсталяції імплант моніторив папки електронної пошти, зокрема «Вхідні», «Чернетки», «Спам» та «RSS-канали». Він об’єднував повідомлення у файл формату Windows .msg, який згодом надсилався на контрольовані зловмисниками акаунти у хмарному сервісі filen.io.
Читайте также: Українським власникам Ecoflow і Bluetti запропонували продавати накопичену енергію в мережу за зеленим тарифом. Чи це взагалі можливо
Щоб обійти системи захисту на привілейованих акаунтах, призначені для обмеження доступу до таємних депеш та інших конфіденційних документів, макрос обробляв листи за допомогою кастомної властивості «AlreadyForwarded» і встановлював параметр «DeleteAfterSubmit» на значення true, щоб видалити переслані повідомлення з папки «Надіслані».
Дослідники Trellix з високою часткою ймовірності вважають, що за атакою стоїть APT28. Цю думку поділяють і в українському центрі CERT-UA, де кампанію відстежують під назвою UAC-0001, яка є прямим відповідником групі APT28.
«APT28 має тривалу історію проведення операцій з кібершпигунства та впливу», — зазначає Trellix. «Методи, використані в цій кампанії — багатоступеневе шкідливе ПЗ, розгалужена обфускація, зловживання хмарними сервісами та атаки на поштові системи для забезпечення стійкої присутності — свідчать про добре забезпеченого та просунутого супротивника, що повністю відповідає профілю APT28. Набір інструментів і техніки також збігаються з ‘цифровим відбитком’ цієї групи».
Читайте также: Тепла шкіра, зоровий контакт і мікроміміка: китайці представили першого у світі біоміметичного ШІ-робота