Positive Technologies зафиксировала первую целевую рассылку в России, где для заражения используется свежая уязвимость CVE-2026-21509 в Microsoft Office. Открытие обычного служебного файла может привести к краже данных или запуску шифровальщика.
Эксперты Positive Technologies сообщили о новой фишинговой кампании, в которой задействована уязвимость CVE-2026-21509. Она затрагивает все системы с установленным Microsoft Office и позволяет обходить встроенные механизмы защиты при обработке OLE-компонентов. В январе исследователи отнесли её к числу трендовых, а уже в феврале зафиксировали практическое применение против российских организаций.
Сценарий атаки выглядит привычно, но реализован на более опасном уровне. Сотрудникам компаний отправляют письма под видом деловой переписки. Во вложении находится файл RTF, визуально похожий на официальный документ. После открытия документа внутри активируется встроенный OLE-объект — технология, которая даёт возможность загружать веб-контент прямо в окно Office-приложения.
Именно на этом этапе используется уязвимость. Она позволяет злоумышленникам обойти защиту и выполнить вредоносный код. В результате атакующие получают доступ к данным пользователя или устанавливают программы-шифровальщики, блокирующие работу системы.
Анализ доменной инфраструктуры и сопутствующих артефактов позволил связать кампанию с группировкой BoTeam, известной на рынке киберугроз с 2024 года. Основная цель злоумышленников — нарушение работы инфраструктуры. Зачастую атаки заканчиваются шифрованием данных и требованием выкупа.
Для снижения риска специалисты советуют обновить Microsoft Office до версии с закрытой уязвимостью. Также рекомендуется использовать решения для управления уязвимостями и системы защиты конечных точек и сети, способные выявлять сложные атаки и блокировать вредоносное ПО.
Читайте нас в Telegram.