0-day в Microsoft Office используют в атаках на госструктуры Украины

Екатерина Быстрова 03 Февраля 2026 - 10:10

Таргетированные атаки

Патчи

...

0-day в Microsoft Office используют в атаках на госструктуры Украины

Microsoft сообщила о критической уязвимости нулевого дня в продуктах Office — CVE-2026-21509 — которая уже активно используется в реальных атаках. Компания раскрыла информацию 26 января 2026 года, а буквально через несколько дней исследователи зафиксировали первые целенаправленные кампании с применением вредоносных документов.

Уязвимость позволяет атакующим запускать сложные цепочки заражения через обычные файлы Word. Основными целями стали государственные структуры и объекты критической инфраструктуры, в первую очередь в Украине и странах Евросоюза.

Первый «боевой» документ обнаружили уже 29 января — всего через три дня после публикации предупреждения Microsoft. Файл с названием Consultation_Topics_Ukraine(Final).doc маскировался под материалы комитета COREPER ЕС, посвящённые консультациям по Украине. Метаданные показали, что документ был создан 27 января, то есть эксплойт подготовили практически сразу после раскрытия уязвимости.

В тот же день началась фишинговая рассылка от имени Гидрометеорологического центра Украины. Письма с вложением BULLETEN_H.doc получили более 60 адресатов, в основном из числа центральных органов исполнительной власти. Все документы содержали эксплойт для CVE-2026-21509.

С технической точки зрения атака выглядит так: при открытии файла Office инициирует WebDAV-соединение с внешней инфраструктурой, откуда загружается ярлык с исполняемым кодом. Далее в систему попадает DLL EhStoreShell.dll, замаскированная под легитимное расширение Windows, а также файл изображения SplashScreen.png, внутри которого спрятан шелл-код. Через подмену COM-объекта (CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}) запускается выполнение зловредного кода.

Для закрепления в системе используется запланированная задача с названием OneDriveHealth, которая перезапускает процесс explorer.exe. В итоге на машине разворачивается фреймворк постэксплуатации COVENANT. Управление заражёнными системами осуществляется через облачный сервис Filen (filen.io), что заметно усложняет обнаружение атаки на сетевом уровне.

Позже аналитики нашли ещё как минимум три вредоносных документа, нацеленных уже на структуры Евросоюза. Анализ инфраструктуры, доменов и структуры документов указывает на группу UAC-0001, также известную как APT28. Один из доменов для атаки был зарегистрирован прямо в день рассылки, что подчёркивает скорость и скоординированность операции.

Microsoft рекомендует как можно скорее установить доступные обновления и применить временные меры защиты, включая изменения в реестре Windows. Организациям также советуют контролировать или блокировать сетевые соединения с инфраструктурой Filen и усилить фильтрацию почты, особенно для входящих документов Office.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Апреля 2026 - 13:08

Бэкдоры Сетевые черви Трояны Целевые атаки Таргетированные атаки Корпорации Государство

Исследователи нашли кибероружие, нацеленное на инженерный софт

SentinelOne обнаружила необычный зловред, который могли создать для саботажа инженерных и физических расчётов. Исследователи считают, что он появился примерно в 2005 году, за несколько лет до Stuxnet, знаменитого червя, атаковавшего иранские центрифуги для обогащения урана.

О находке на конференции Black Hat Asia рассказал исследователь SentinelOne Виталий Камлюк.

По его словам, всё началось с попытки понять, были ли такие известные инструменты кибершпионажа, как Flame, Animal Farm и Project Sauron, первыми в своём роде. Все они использовали Lua и виртуальную машину, поэтому Камлюк решил поискать похожие образцы.

Так исследователи вышли на файл, загруженный в VirusTotal ещё в 2016 году. В нём упоминался идентификатор fast16. При анализе выяснилось, что методы авторов зловреда, совсем не похожи на типичные для 2016 года. Более того, ссылка на fast16 встречалась и в утечке Shadow Brokers, которую позже связывали с Агентством национальной безопасности США.

По оценкам SentinelOne, fast16 мог быть создан примерно в 2005 году. На это указывают особенности кода, а также тот факт, что зловред не работает на системах новее Windows XP и требует одноядерного процессора. Первые многоядерные потребительские процессоры Intel появились в 2006 году.

Исследователи выяснили, что fast16 пытается установить червя и загрузить драйвер fast16.sys. Самое интересное скрывается именно в драйвере: он содержит механизм, который изменяет результаты вычислений с плавающей точкой. Также зловред ищет инструменты точных расчётов, используемые в гражданском строительстве, физике и моделировании физических процессов.

По версии SentinelOne, целью fast16 могли быть три инженерные и симуляционные платформы, популярные в середине 2000-х: LS-DYNA 970, PKPM и гидродинамическая платформа MOHID. Такие решения применяются, например, для краш-тестов, анализа прочности конструкций и экологического моделирования.

Камлюк предположил, что fast16 мог незаметно вносить ошибки в расчёты инженерного софта. В теории это могло привести уже не просто к сбою на компьютере, а к реальным последствиям: ошибкам в проектах, моделях или испытаниях.

В SentinelOne называют fast16 своеобразным предшественником Stuxnet и считают его ранним примером кибероружия, нацеленного не на кражу данных, а на скрытое изменение работы критически важных систем.

Исследователи уже сообщили о находке разработчикам инженерного ПО, которое могло быть целью fast16. По словам Камлюка, поставщикам, возможно, стоит проверить старые результаты расчётов на признаки вмешательства.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!