Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT28 запустила новую опасную кампанию

2
1 мин
Изображение: recraft Русскоязычная хакерская группа APT28, известная также как Forest Blizzard и Pawn Storm, запустила новую фишинговую кампанию против Украины и стран НАТО с применением ранее не задокументированного вредоносного набора PRISMEX. Специалисты Trend Micro Фейке Хаккеборд и Хироюки Какахара установили, что активность фиксируется минимум с сентября 2025 года, а сам инструментарий сочетает стеганографию, перехват COM-объектов и управление через легитимные облачные сервисы. По охвату и технической сложности аналитики называют эту кампанию одной из наиболее продвинутых за последнее время. На Украине под удар попали госструктуры, службы экстренного реагирования, оборонный сектор и гидрометеорология. В Европе целями стали логистические и транспортные компании, морские перевозчики и участники цепочек поставок, связанных с военной поддержкой, а также партнёры НАТО и военные структуры. Злоумышленники оперативно задействовали уязвимости CVE-2026-21509 и CVE-2026-21513 — подготовка и

Изображение: recraft

Русскоязычная хакерская группа APT28, известная также как Forest Blizzard и Pawn Storm, запустила новую фишинговую кампанию против Украины и стран НАТО с применением ранее не задокументированного вредоносного набора PRISMEX.

Специалисты Trend Micro Фейке Хаккеборд и Хироюки Какахара установили, что активность фиксируется минимум с сентября 2025 года, а сам инструментарий сочетает стеганографию, перехват COM-объектов и управление через легитимные облачные сервисы. По охвату и технической сложности аналитики называют эту кампанию одной из наиболее продвинутых за последнее время.

На Украине под удар попали госструктуры, службы экстренного реагирования, оборонный сектор и гидрометеорология. В Европе целями стали логистические и транспортные компании, морские перевозчики и участники цепочек поставок, связанных с военной поддержкой, а также партнёры НАТО и военные структуры.

Злоумышленники оперативно задействовали уязвимости CVE-2026-21509 и CVE-2026-21513 — подготовка инфраструктуры началась 12 января 2026 года, за 14 дней до публичного раскрытия первой из них. Akamai ранее сообщала, что CVE-2026-21513 применялась как уязвимость нулевого дня — вредоносный LNK-файл появился на VirusTotal 30 января, тогда как патч от Microsoft вышел только 10 февраля. Совпадение доменной инфраструктуры в обоих случаях указывает на то, что уязвимости объединены в единую цепочку, где первая инициирует загрузку вредоносного LNK-файла, а вторая обходит защитные механизмы и запускает код без уведомления пользователя.

Финальная нагрузка зависит от цели. В одних случаях разворачивается MiniDoor — инструмент для кражи данных из Outlook. В других — полный набор PRISMEX из нескольких взаимосвязанных компонентов. Название отсылает к стеганографии, где полезная нагрузка прячется в изображениях, что серьёзно затрудняет обнаружение средствами стандартной защиты.

Оригинал публикации на сайте CISOCLUB: "«Русских хакеров» обвинили в атаках против Украины и стран НАТО с применением вредоносного набора PRISMEX".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.