APT28 атакует Европу с помощью нового эксплойта для Office и облачной инфраструктуры

Кампания началась с фишинговых писем, доставленных в течение 72 часов в конце января 2026 года. Злоумышленники использовали не менее 29 различных писем, нацеленных на девять стран Восточной Европы. Письма рассылались со взломанных государственных почтовых ящиков, а их тематика варьировалась от предупреждений о контрабанде оружия до приглашений на военные учения и экстренных метеосводок. Вложения, такие как документы с расширениями .DOC или .RTF, содержали эксплойт для уязвимости CVE‑2026‑21509.

Эта уязвимость в Microsoft Office, позволяющая обходить механизмы безопасности для встроенных объектов (OLE), была закрыта компанией во внеочередном обновлении. Группа APT28 смогла разработать и применить работающий эксплойт менее чем за 24 часа после публикации информации об уязвимости. При открытии документа эксплойт автоматически, без каких-либо действий пользователя, загружал и запускал вредоносный код, используя протокол WebDAV.

Первой стадией заражения стал простой загрузчик (SimpleLoader), который обеспечивал устойчивость в системе и развертывал основную полезную нагрузку. В зависимости от сценария, загрузчик либо извлекал из скрытого в PNG-изображении шеллкода продвинутый бэкдор BeardShell, либо устанавливал в Microsoft Outlook макрос-шпион NotDoor.

Бэкдор BeardShell представляет собой сложный имплант, написанный на C++. Для маскировки он хранится в зашифрованном виде внутри обычного изображения. После запуска он выполняет проверки на наличие анализа, например, отслеживая ускорение времени в песочницах. Его конечная цель - загрузить в память системы фреймворк для удаленного управления Covenant, модифицированный для работы с облачным хранилищем.

Вторая полезная нагрузка, NotDoor, нацелена исключительно на сбор разведданных через электронную почту. Это макрос для Outlook, который после установки полностью отключает предупреждения безопасности о макросах. Он автоматически пересылает входящие и исходящие письма жертвы на контролируемые злоумышленниками адреса, обеспечивая постоянный доступ к переписке без ведома пользователя.

Ключевой особенностью кампании стало активное использование легитимных облачных сервисов для командного управления. В частности, основным каналом связи для имплантов Covenant и BeardShell выступило облачное хранилище filen.io. Вредоносный трафик, зашифрованный с помощью RSA и AES, маскируется под обычные запросы к API облачного сервиса, что значительно затрудняет его обнаружение сетевыми системами IDS (обнаружения вторжений). Ранее APT28 использовала для аналогичных целей другие платформы, такие как Koofr, демонстрируя гибкость в выборе инфраструктуры.

Атрибуция этой кампании группе APT28 оценивается экспертами как высокодостоверная. Украинский CERT-UA официально связал январские атаки с угрозой UAC-0001, что соответствует внутреннему обозначению APT28. Стиль операции, включающий быстрое использование уязвимостей, сложное многоступенчатое вредоносное ПО, методы обеспечения устойчивости и характерные цели, полностью соответствует известному почерку этой группы.

Кампания наглядно демонстрирует эволюцию тактики APT28. Группа сочетает скоростное использование свежих уязвимостей (1-day) с изощренными методами обхода защиты, такими как выполнение кода только в памяти (fileless execution) и злоупотребление доверенными облачными сервисами. Это значительно усложняет задачу по обнаружению и расследованию инцидентов для специалистов по безопасности. Эксперты настоятельно рекомендуют организациям, особенно в правительственном и оборонном секторах, как можно быстрее установить патч для CVE‑2026‑21509 и применять дополнительные рекомендации Microsoft по усилению защиты от подобных атак, связанных с технологией OLE.

IPv4

• 159.253.120.2
• 193.187.148.169
• 23.227.202.14
• 72.62.185.31

Domains

• freefoodaid.com
• longsauce.com
• wellnesscaremed.com
• wellnessmedcare.org

URLs

• http://freefoodaid.com/documents/2_1.lNk?init=1
• http://wellnesscaremed.com/ankara/Favorites/blank.doc
• http://wellnesscaremed.com/buch/Downloads/blank.doc
• http://wellnesscaremed.com/ljub/Downloads/blank.doc
• http://wellnesscaremed.com/venezia/Favorites/blank.doc
• http://wellnessmedcare.org/cz/Downloads/blank.doc
• http://wellnessmedcare.org/pol/Downloads/blank.doc
• https://freefoodaid.com/documents/1_1.LnK?init=1
• https://freefoodaid.com/tables//template_tables.doc
• https://freefoodaid.com/tables/tables.lNk?init=1
• https://longsauce.com/DAv/DEFault/data.LnK?init=1
• https://longsauce.com/DAv/DEFault/df.doc
• https://wellnesscaremed.com/ankara/Favorites/document.doc.LnK?init=1
• https://wellnesscaremed.com/buch/Downloads/document.doc.LnK?init=1
• https://wellnesscaremed.com/ljub/Downloads/document.doc.LnK?init=1
• https://wellnesscaremed.com/venezia/Favorites/document.doc.LnK?init=1
• https://wellnessmedcare.org/cz/Downloads/document.LnK?init=1
• https://wellnessmedcare.org/pol/Downloads/document.LnK?init=1

Emails

• ch*********@*****ok.com
• ch*********@****on.me
• fi*******************@*********ov.ar
• ja*************@*****ok.com
• na**********@*******so.net

MD5

• 045d1e0686f8b4b49b2d9cf48ac821f8
• 0df3fde016f3c0974d4aa01b06724a33
• 1550ae7df233bb9a9c9e78bf8b236072
• 2f7b4dca1c79e525aef8da537294a6c4
• 337cecf067ecf0609b943b54fb246ed2
• 41c51784f6d601ffd0e09b7d59ff6025
• 4727582023cd8071a6f388ea3ba2feaa
• 58f517bdc9ba8de1b69829b0dcf86113
• 6408276cdfd12a1d5d3ed7256bfba639
• 7c396677848776f9824ebe408bbba943
• 859c4b85ed85e6cc4eadb1a037a61e16
• b6a86f44d0a3fa5a5ac979d691189f2d
• c306e0a3ec528368f0b0332104148266
• d47261e52335b516a777da368208ee91
• e4a5c4b205e1b80dc20d9a2fb4126d06

SHA256

• 0bb0d54033767f081cae775e3cf9ede7ae6bea75f35fbfb748ccba9325e28e5e
• 1ed863a32372160b3a25549aad25d48d5352d9b4f58d4339408c4eea69807f50
• 5a17cfaea0cc3a82242fdd11b53140c0b56256d769b07c33757d61e0a0a6ec02
• 7ccf7e8050c66eed69f35159042d8043032f8afe48ae1f51fce75ce2c51395f2
• 968756e62052f9af80934b599994addbab29f8dc2615c47cda512bae48771019
• 969d2776df0674a1cca0f74c2fccbc43802b4f2b62ecccecc26ed538e9565eae
• a876f648991711e44a8dcf888a271880c6c930e5138f284cd6ca6128eca56ba1
• b7342b03d7642c894ebad639b9b53fd851d7958298f454283c18748051946585
• baad1153e58c86aa1dc9346cdd06be53b5dd2a6cf76202536d6721c934008f8e
• be859b4f4576ec09b69a2ef2d119939f7eb31de121aa01d38e1f0b2290f5a15e
• c91183175ce77360006f964841eb4048cf37cb82103f2573e262927be4c7607f
• d213b5079462e737eb940ac46c59e386eb6ca7f8decc95a594b3d8f3b6940010
• e792adf4dff54faca5b9f5b32c1a2df3a6a955e722f1be8df2451c03ed940e41
• fd3f13db41cd5b442fa26ba8bc0e9703ed243b3516374e3ef89be71cbf07436b