APT28 атакует страны Восточной Европы, используя уязвимость в Microsoft Office

Целью кампании стали пользователи в Украине, Словакии и Румынии. Социальная инженерия была адаптирована под каждую целевую аудиторию. Фишинговые письма содержали вложения, подготовленные на английском, румынском, словацком и украинском языках. Для дополнительной маскировки угроза использовала серверные методы уклонения. Вредоносная полезная нагрузка (payload) загружалась только в том случае, если запрос поступал из целевого географического региона и содержал правильный HTTP-заголовок User-Agent.

Технический анализ показал две основные вариации атаки. Обе начинаются с файла RTF, который использует уязвимость CVE-2026-21509. После успешной эксплуатации на компьютер жертвы загружается вредоносная DLL-библиотека-дроппер. Первый вариант дроппера нацелен на кражу электронной почты. Он развертывает вредоносный проект VBA для Microsoft Outlook под названием MiniDoor. Этот легковесный похититель автоматически загружается при запуске Outlook, обходит настройки безопасности и пересылает содержимое папок "Входящие", "RSS-каналы", "Спам" и "Черновики" на заранее заданные злоумышленниками адреса электронной почты. Для обеспечения устойчивости (persistence) дроппер вносит изменения в реестр Windows, понижая уровень безопасности макросов.

Вторая вариация атаки более сложная и использует новый, ранее не документированный дроппер, который исследователи назвали PixyNetLoader. Его цель - развертывание удаленного трояна. Этот дроппер создает на диске несколько компонентов, включая вредоносную DLL-библиотеку и файл изображения PNG, в котором с помощью стеганографии скрыт шелл-код. Для обеспечения устойчивости PixyNetLoader прибегает к технике подмены COM-объекта, заставляя процесс explorer.exe загружать вредоносную библиотеку. Дополнительно создается запланированная задача в Windows для перезапуска проводника и активации вредоносного кода.

Загружаемая библиотека содержит сложные проверки на наличие среды анализа. Она выполняет вредоносную логику, только если загружена процессом explorer.exe, а также проверяет, не был ли обойден вызов функции Sleep() - обычная практика в песочницах. После прохождения проверок библиотека извлекает шелл-код из пикселей PNG-файла, используя метод замены наименьшего значащего бита. Этот шелл-код, в свою очередь, загружает и выполняет в памяти управляемую сборку .NET.

Финальной полезной нагрузкой в этой цепочке оказывается имплант Grunt, связанный с открытым фреймворком для управления командным центром (C2) Covenant. Для скрытой коммуникации с операторами этот имплант злоупотребляет легитимным Filen API, используя его в качестве моста для получения команд. Подобное злоупотребление облачными сервисами ранее уже наблюдалось в кампаниях, связанных с APT28.

Атрибуция кампании APT28 основана на нескольких ключевых факторах:

• География целей и использование локализованных языковых вложений соответствуют предыдущим интересам этой группы.
• Инструментарий демонстрирует явную преемственность. MiniDoor является упрощенной версией трояна NotDoor, ранее приписывавшегося APT28.
• Инфраструктура кампании, в частности, использование Filen API для C2, напрямую связывает ее с операцией Phantom Net Voxel, также атрибутированной APT28 в сентябре 2025 года.
• Техники, такие как подмена COM-объектов, проксирование DLL, использование стеганографии и шифрование строк XOR, являются общими для недавних активностей этой группы.

Operation Neusploit наглядно демонстрирует, как APT28 продолжает эволюционировать свои тактики, техники и процедуры (TTPs), оперативно применяя эксплойты для самых свежих уязвимостей в популярном программном обеспечении, таком как Microsoft Office. Исследователи настоятельно рекомендуют пользователям и администраторам немедленно установить последние обновления безопасности от Microsoft, чтобы закрыть уязвимость CVE-2026-21509 и защититься от этой и подобных атак.

Domains

• freefoodaid.com
• wellnesscaremed.com

URLs

• https://freefoodaid.com/documents/2_2.d
• https://freefoodaid.com/documents/2_2.lNk
• https://freefoodaid.com/tables/tables.d

MD5

• 154ff6774294e0e6a46581c8452a77de
• 2f7b4dca1c79e525aef8da537294a6c4
• 4727582023cd8071a6f388ea3ba2feaa
• 7c396677848776f9824ebe408bbba943
• 859c4b85ed85e6cc4eadb1a037a61e16
• 95e59536455a089ced64f5af2539a449
• d47261e52335b516a777da368208ee91
• e4a5c4b205e1b80dc20d9a2fb4126d06
• ea6615942f2c23dba7810a6f7d69e2da
• ee0b44346db028a621d1dec99f429823
• f05d0b13c633ad889334781cf4091d3e
• f3b869a8d5ad243e35963ba6d7f89855

SHA1

• 22da6a104149cad87d5ec5da4c3153bebf68c411
• 23b6f9c00b9d5475212173ec3cbbcff34c4400a7
• 4592e6173a643699dc526778aa0a30330d16fe08
• 7bbb530eb77c6416f02813cd2764e49bd084465c
• c1b272067491258ea4a2b1d2789d82d157aaf90a
• c4799d17a4343bd353e0edb0a4de248b99295d4d
• c8c84bf33c05fb3a69bc5e2d6377b73649b93dce
• cea7e9323d79054f92634f4032c26d30c1cedd7e
• D577c4a264fee27084ddf717441eb89f714972a5
• d788d85335e20bb1f173d4d0494629d36083dddc
• da1c3e92f69e6ca0e4f4823525905cb6969a44ad
• e52a9f004f4359ea0f8f9c6eb91731ed78e5c4d3

SHA256

• 0bb0d54033767f081cae775e3cf9ede7ae6bea75f35fbfb748ccba9325e28e5e
• 1ed863a32372160b3a25549aad25d48d5352d9b4f58d4339408c4eea69807f50
• 2822c72a59b58c00fc088aa551cdeeb92ca10fd23e23745610ff207f53118db9
• 3f446d316efe2514efd70c975d0c87e12357db9fca54a25834d60b28192c6a69
• 5a17cfaea0cc3a82242fdd11b53140c0b56256d769b07c33757d61e0a0a6ec02
• 9f4672c1374034ac4556264f0d4bf96ee242c0b5a9edaa4715b5e61fe8d55cc8
• a876f648991711e44a8dcf888a271880c6c930e5138f284cd6ca6128eca56ba1
• a944a09783023a2c6c62d3601cbd5392a03d808a6a51728e07a3270861c2a8ee
• b2ba51b4491da8604ff9410d6e004971e3cd9a321390d0258e294ac42010b546
• bb23545380fde9f48ad070f88fe0afd695da5fcae8c5274814858c5a681d8c4e
• c91183175ce77360006f964841eb4048cf37cb82103f2573e262927be4c7607f
• fd3f13db41cd5b442fa26ba8bc0e9703ed243b3516374e3ef89be71cbf07436b