0-day в Microsoft Office используют в атаках на госструктуры Украины

Екатерина Быстрова 03 Февраля 2026 - 10:10

Таргетированные атаки

Патчи

...

0-day в Microsoft Office используют в атаках на госструктуры Украины

Microsoft сообщила о критической уязвимости нулевого дня в продуктах Office — CVE-2026-21509 — которая уже активно используется в реальных атаках. Компания раскрыла информацию 26 января 2026 года, а буквально через несколько дней исследователи зафиксировали первые целенаправленные кампании с применением вредоносных документов.

Уязвимость позволяет атакующим запускать сложные цепочки заражения через обычные файлы Word. Основными целями стали государственные структуры и объекты критической инфраструктуры, в первую очередь в Украине и странах Евросоюза.

Первый «боевой» документ обнаружили уже 29 января — всего через три дня после публикации предупреждения Microsoft. Файл с названием Consultation_Topics_Ukraine(Final).doc маскировался под материалы комитета COREPER ЕС, посвящённые консультациям по Украине. Метаданные показали, что документ был создан 27 января, то есть эксплойт подготовили практически сразу после раскрытия уязвимости.

В тот же день началась фишинговая рассылка от имени Гидрометеорологического центра Украины. Письма с вложением BULLETEN_H.doc получили более 60 адресатов, в основном из числа центральных органов исполнительной власти. Все документы содержали эксплойт для CVE-2026-21509.

С технической точки зрения атака выглядит так: при открытии файла Office инициирует WebDAV-соединение с внешней инфраструктурой, откуда загружается ярлык с исполняемым кодом. Далее в систему попадает DLL EhStoreShell.dll, замаскированная под легитимное расширение Windows, а также файл изображения SplashScreen.png, внутри которого спрятан шелл-код. Через подмену COM-объекта (CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}) запускается выполнение зловредного кода.

Для закрепления в системе используется запланированная задача с названием OneDriveHealth, которая перезапускает процесс explorer.exe. В итоге на машине разворачивается фреймворк постэксплуатации COVENANT. Управление заражёнными системами осуществляется через облачный сервис Filen (filen.io), что заметно усложняет обнаружение атаки на сетевом уровне.

Позже аналитики нашли ещё как минимум три вредоносных документа, нацеленных уже на структуры Евросоюза. Анализ инфраструктуры, доменов и структуры документов указывает на группу UAC-0001, также известную как APT28. Один из доменов для атаки был зарегистрирован прямо в день рассылки, что подчёркивает скорость и скоординированность операции.

Microsoft рекомендует как можно скорее установить доступные обновления и применить временные меры защиты, включая изменения в реестре Windows. Организациям также советуют контролировать или блокировать сетевые соединения с инфраструктурой Filen и усилить фильтрацию почты, особенно для входящих документов Office.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 28 Апреля 2026 - 10:59

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Загрузки VPN в России выросли в 14 раз за год

По данным Digital Budget, в марте 2026 года российские пользователи загрузили VPN-приложения из Google Play 9,2 млн раз. Это в 14 раз больше, чем в марте 2025 года. Одновременно снижается активность пользователей на платформах, которые ограничивают доступ при включённом VPN.

Статистику Digital Budget приводит «Коммерсантъ». Всего с марта 2025 по март 2026 года VPN-клиенты загрузили 35,7 млн российских пользователей.

Только за первые три месяца 2026 года россияне скачали такие приложения почти 21,3 млн раз. У трёх крупнейших сервисов аудитория в России составила не менее 2,5 млн пользователей.

Рост загрузок связывают с активностью российского регулятора, который ограничивает использование VPN. По состоянию на конец февраля Роскомнадзор заявил о блокировке 469 таких сервисов. В октябре 2025 года их было 258. Также с конца прошлого года ведомство начало ограничивать на уровне протоколов SOCKS5, VLESS и L2TP, которые также используют для обхода блокировок.

С конца марта российские платформы по требованию Минцифры начали ограничивать пользователей, заходящих на сайты и в приложения с включённым VPN. Причём такие ограничения начали вводить и компании, от которых этого изначально не требовали. Это объясняли тем, что подмена сетевых адресов мешает работе внутренних систем площадок.

Обратной стороной стал отток клиентов с платформ, которые ограничивают доступ при включённом VPN, отметил операционный директор «Рейтинга Рунета» Анатолий Денисов. По его словам, это уже привело к снижению продаж на маркетплейсах.

Партнёр практики «Цифровая трансформация» компании Strategy Partners Сергей Кудряшов считает, что пользователи не будут отказываться от VPN, поскольку с их помощью сохраняют доступ к сервисам, у которых нет полноценной замены. При этом полностью запретить такие инструменты невозможно.

Кроме того, появляются новые способы обхода ограничений, использующие другие принципы работы. В результате, по мнению некоторых экспертов, уже к концу 2026 года традиционных VPN на российском рынке может не остаться.

Напомним, ранее Наталья Касперская, сооснователь «Лаборатории Касперского» и президент ГК InfoWatch, раскритиковала попытки ограничивать VPN и сетевой трафик в России.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!