Добавить в корзинуПозвонить
Найти в Дзене
IT Vibe
21 подписчик

​​Критическая дыра в Office: кого и как взломали за три дня

2 мин
История с уязвимостью CVE-2026-21509 в Microsoft Office наглядно показала, насколько уязвима современная инфраструктура даже при быстром реагировании со стороны вендора. Microsoft выпустила экстренный патч 26 января, закрывающий критическую дыру в Office, однако уже менее чем через двое суток хакерские группировки провели обратную инженерию обновления и начали активно эксплуатировать уязвимость в реальных атаках. По данным исследователей из Trellix, за короткое время была развернута масштабная фишинговая кампания, длившаяся около 72 часов. В рамках этой операции хакеры отправили как минимум 29 вредоносных писем организациям в девяти странах, преимущественно в Восточной Европе. Под удар попали Польша, Словения, Турция, Греция, ОАЭ, Украина, Румыния и Боливия. Атаки были нацелены прежде всего на чувствительные с точки зрения национальной безопасности структуры. Около 40% целей составили министерства обороны и связанные с ними организации, 35% — транспортные и логистические компании, а

​​Критическая дыра в Office: кого и как взломали за три дня

История с уязвимостью CVE-2026-21509 в Microsoft Office наглядно показала, насколько уязвима современная инфраструктура даже при быстром реагировании со стороны вендора. Microsoft выпустила экстренный патч 26 января, закрывающий критическую дыру в Office, однако уже менее чем через двое суток хакерские группировки провели обратную инженерию обновления и начали активно эксплуатировать уязвимость в реальных атаках.

По данным исследователей из Trellix, за короткое время была развернута масштабная фишинговая кампания, длившаяся около 72 часов. В рамках этой операции хакеры отправили как минимум 29 вредоносных писем организациям в девяти странах, преимущественно в Восточной Европе. Под удар попали Польша, Словения, Турция, Греция, ОАЭ, Украина, Румыния и Боливия.

Атаки были нацелены прежде всего на чувствительные с точки зрения национальной безопасности структуры. Около 40% целей составили министерства обороны и связанные с ними организации, 35% — транспортные и логистические компании, а оставшиеся 25% — дипломатические учреждения. Такой выбор жертв указывает на разведывательный характер операций и высокий уровень подготовки атакующих.

Кампания связывается с группировками APT28, также известными под названиями Fancy Bear, Sednit, Forest Blizzard и Sofacy. Эти акторы давно ассоциируются со сложными кибершпионскими операциями. В данном случае они использовали уязвимость в Office для установки двух новых вредоносных инструментов — BeardShell и NotDoor.

BeardShell представляет собой малозаметный бэкдор, ориентированный на разведку. Он работает в памяти и практически не оставляет следов на диске, что сильно усложняет его обнаружение традиционными средствами защиты. NotDoor, в свою очередь, реализован в виде VBA-макроса и используется для мониторинга почтовых папок, что позволяет злоумышленникам долгое время оставаться в системе и отслеживать внутреннюю переписку.

Выпуск патча сам по себе не означает конец угрозы. Напротив, момент после выхода обновления часто становится самым опасным периодом, когда атакующие активно анализируют исправления и ищут способы использовать уязвимость до того, как организации успеют обновиться. Для государственных структур и критической инфраструктуры это означает необходимость не только быстрого патчинга, но и повышенного мониторинга в первые дни после публикации обновлений безопасности.

#кибербезопасность #уязвимости #хакеры

🔳 IT Vibe News