Российским хакерам понадобилось всего 48 часов. Microsoft не успела пропатчить Office, а Польша была в пределах досягаемости
В конце января Microsoft выпустила экстренное исправление безопасности, пытаясь исправить критическую уязвимость Office. Прежде чем ИТ-администраторы смогли внедрить обновление в своих организациях, российские хакеры успели не только проанализировать, как работают уязвимости, но и создать передовые инструменты эксплуатации и провести атаку на европейские правительственные и оборонные структуры. Польские учреждения также были среди целей.
Российская группа APT28 воспользовалась уязвимостью в Microsoft Office еще до того, как большинство пользователей установили патч, продемонстрировав беспрецедентную скорость реакции на обнаруженные уязвимости.
Группа APT взяла на себя управление хостинговой инфраструктурой Notepad++ и распространяла вредоносные обновления с июня 2025 года.
Уязвимость, отмеченная как CVE-2026-21509, позволяет обойти механизмы безопасности OLE (Object Linking and Embedding) в Microsoft Office, благодаря чему злоумышленники могут принудительно выполнить опасные элементы управления COM. На практике это означает, что для запуска цепочки заражения достаточно простого открытия специально созданного RTF-документа без необходимости включения макросов или дополнительного взаимодействия со стороны пользователя. По мнению аналитиков Trellix и Zscaler, APT28 (также известный как Fancy Bear и Forest Blizzard) воспользовался уязвимостью в скоординированной 72-часовой фишинговой кампании, которая началась 28 января и включала как минимум 29 различных сообщений, нацеленных на организации в девяти странах, в основном в Восточной Европе. Жертвы получали электронные письма, отправленные со взломанных правительственных аккаунтов в Румынии, Боливии и Украине и содержащие документы, выдававшие себя за официальные сообщения метеорологических служб, министерств обороны или военных университетов.
Глава агентства кибербезопасности США загрузил конфиденциальные документы в общедоступную версию ChatGPT
Особую тревогу вызывает распределение целей атак. По данным Trellix, 40 процентов — это министерства обороны, 35 процентов — транспортно-логистические операторы и 25 процентов — дипломатические учреждения Польши, Словении, Турции, Греции, ОАЭ, Украины, Румынии и Боливии. Злоумышленники использовали сложный многоэтапный механизм заражения по двойному сценарию. В зависимости от профиля жертвы был установлен либо бэкдор BeardShell с фреймворком Covenant (продвинутый инструмент удаленного доступа, работающий только в оперативной памяти, который общается через легальный облачный сервис filen.io, имитирующий обычный сетевой трафик), либо MiniDoor — более простой имплант, специализирующийся на краже содержимого почтовых ящиков Outlook и отправке его на подконтрольные злоумышленникам серверы. Вся цепочка заражения построена таким образом, чтобы избежать обнаружения. Он использует зашифрованные полезные данные, выполнение в основной памяти, выдает себя за законные системные процессы, а также подключается к облачным сервисам, которые обычно занесены в белые списки в сетях государственных учреждений.
Российская хакерская группа Sandworm атаковала польскую энергосистему с помощью вредоносного ПО DynoWiper.
В долгосрочной перспективе эта кампания сигнализирует об изменении парадигмы киберугроз. Раньше у администраторов были недели на установку исправлений, а теперь процесс создания инструментов атаки (так называемое вооружение) происходит практически мгновенно. Однако данные за 2025 год показывают, что в настоящее время 50–61 процент вновь обнаруженных уязвимостей имеют готовый эксплойт в течение 48 часов после публикации. APT28 удалось сократить этот процесс менее чем за 24 часа. По данным украинского CERT-UA, первые атаки были обнаружены менее чем через 24 часа после того, как Microsoft опубликовала патч. Для сравнения, стандартный процесс внедрения обновления для средней государственной организации включает этап тестирования (3–5 рабочих дней), одобрение комитета по изменениям (еще 2–3 дня) и окончательное внедрение (1–2 дня), что в сумме занимает от недели до двух недель. Таким образом, в случае с CVE-2026-21509 злоумышленники имели почти пятикратное преимущество во времени. Это не только ставит под сомнение эффективность традиционных расписаний «Вторника обновлений», но и заставляет нас переосмыслить всю философию управления уязвимостями в критической инфраструктуре, где время отклика может определить, останутся ли данные конфиденциальными или попадут в разведку враждебного государства.
Источник: Microsoft Security, Trellix, Zscaler, CERT-UA, The Hacker News, Ars Technica.
