Российские хакеры используют новую уязвимость Microsoft Office в рамках шпионской кампании Operation Neusploit. Эксперты ZScaler ThreatLabz обнаружили атаку вскоре после выпуска патча. Кампания нацелена на страны Европы и использует многоступенчатые заражения для установки бэкдоров.
Сообщается, что связанные с Россией злоумышленники используют новую уязвимость Microsoft в рамках скоординированной кампании шпионажа и распространения вредоносного ПО под названием Operation Neusploit.
Кампанию обнаружили в январе 2026 года исследователи из ZScaler ThreatLabz через три дня после того, как Microsoft выпустила срочное исправление для этой уязвимости.
«В рамках этой кампании злоумышленник использовал специально подготовленные файлы Microsoft RTF для эксплуатации CVE-2026-21509 и доставки вредоносных бэкдоров в многоступенчатой цепочке заражения», — заявили исследователи в своем блоге. «ThreatLabz зафиксировал активную эксплуатацию уязвимости в реальных условиях 29 января 2026 года».
Кампания была нацелена на пользователей в странах Центральной и Восточной Европы, включая Украину, Словакию и Румынию, с использованием уникальных приманок для социальной инженерии. Специально созданные файлы в формате RTF эксплуатировали уязвимость Office в момент открытия, запуская многоступенчатую цепочку заражения, ведущую к установке бэкдоров и вредоносных имплантов.
Учитывая значительное совпадение инструментов, методов и процедур (TTP) этой кампании с действиями APT28 (также известной как Fancy Bear), связанной с Главным разведывательным управлением Генерального штаба России (ГРУ), ZScaler отнес эту кампанию к деятельности продвинутой постоянной угрозы (APT) группы APT28.
Neusploit завлекала пользователей через Office
Operation Neusploit в значительной степени полагается на CVE-2026-21509 — критическую уязвимость в Microsoft Office, которую Microsoft исправила 26 января после сообщений об активной эксплуатации.
Заражение начинается с получения жертвой электронного письма с вложением в формате RTF, содержащим вредоносный эксплойт. При открытии файла RTF Microsoft Office выполняет код, который связывается с инфраструктурой злоумышленника и загружает DLL-дроппер. Затем DLL запускает остальную часть вредоносной цепочки.
«Злоумышленник использовал методы уклонения на стороне сервера, отвечая вредоносной DLL только на запросы, поступающие из целевого географического региона и содержащие правильный HTTP-заголовок User-Agent», — сообщили исследователи.
В кампании использовались два различных варианта DLL-дроппера, развертывающих разные компоненты для разных целей.
Одна кампания, два пути заражения
ZScaler обнаружил, что эксплуатация CVE-2026-21509 не приводила к единой стандартной полезной нагрузке. Вместо этого первоначальный эксплойт на основе RTF разделялся на два различных пути заражения, каждый из которых служил разным операционным целям. Выбор дроппера, по сообщениям, определял, отдавали ли злоумышленники приоритет краткосрочному сбору информации или долгосрочному доступу к скомпрометированным системам.
По одному пути эксплойт доставлял MiniDoor — легковесную DLL, ориентированную на кражу электронной почты. Вредоносное ПО модифицировало настройки реестра Windows для ослабления средств защиты Microsoft Outlook, позволяя ему незаметно собирать и эксфильтровать данные электронной почты в инфраструктуру, контролируемую злоумышленником. Дизайн и функциональность MiniDoor тесно напоминают инструменты APT28, использовавшиеся ранее, что соответствует установленным целям группы в атаках, ориентированных на шпионаж.
Второй путь включал более сложную цепочку, которая начиналась с PixyNetLoader. Он развертывал дополнительные полезные нагрузки и обеспечивал постоянство с помощью таких методов, как DLL-проксирование и захват COM-объектов. Этот загрузчик в конечном итоге устанавливал имплант Covenant Grunt, используемый в фреймворке команд и управления (c2) на базе .NET, предоставляя злоумышленникам устойчивый удаленный доступ через облачную инфраструктуру C2.
Меры по смягчению последствий
ZScaler рекомендовал организациям в первую очередь установить исправление для CVE-2026-21509, отметив, что APT28 использовала эту уязвимость в течение нескольких дней после выпуска исправлений Microsoft. Системы, работающие под управлением неисправленных версий Microsoft Office, остаются уязвимыми для вредоносных RTF-документов, которые требуют минимального взаимодействия с пользователем, кроме открытия файла, что значительно повышает риск компрометации в сценариях атак, основанных на электронной почте.
Для целей защитного анализа ZScaler предоставил репозитории GitHub, включая файл конфигурации задачи Windows по расписанию и код макроса MiniDoor, иллюстрирующие пути атак, использованные в Operation Neusploit. Кроме того, были опубликованы индикаторы компрометации (IOC), такие как хеши файлов, вредоносные домены и URL-адреса, для поддержки усилий по обнаружению. CISA добавила уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), предоставив агентствам Федеральной гражданской исполнительной ветви власти (FCEB) срок до 16 февраля для установки исправлений на свои системы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma