Всего через несколько дней после выхода экстренного обновления безопасности для Microsoft Office критическая уязвимость CVE-2026-21509 была поставлена на вооружение группировкой APT28 (также известной как Fancy Bear, Sofacy и Forest Blizzard). По данным аналитиков Zscaler, злоумышленники оперативно внедрили новый эксплойт в свои инструменты и развернули фишинговую кампанию против организаций в Украине и ряде стран Центральной и Восточной Европы.
Критическая уязвимость Microsoft Office CVE-2026-21509 и скорость ее вооружения
В конце января 2026 года Microsoft выпустила внеплановый патч, устраняющий уязвимость CVE-2026-21509, связанную с обходом механизмов защиты от вредоносных COM/OLE-компонентов в Office. Баг получил критический статус из‑за возможности скрытого выполнения кода при открытии специально подготовленных документов. Microsoft отдельно подчеркнула, что уязвимость уже используется в качестве 0-day и рекомендовала немедленно устанавливать обновления.
По результатам анализа Zscaler, первый зафиксированный вредоносный документ, эксплуатирующий CVE-2026-21509, был создан 27 января — фактически через сутки после релиза патча. Это указывает на то, что операторы APT28 провели быстрый реверс-инжиниринг обновления, извлекли детали исправления и реализовали рабочий эксплойт в минимально возможные сроки. Подобная скорость вооружения уязвимостей подтверждает общую тенденцию: окно между публикацией патча и массовой эксплуатацией сокращается до нескольких дней.
Целевые фишинговые кампании против Украины и стран региона
Вектор начального проникновения строился вокруг фишинговых писем, маскирующихся под официальную переписку и аналитические материалы от европейских структур, взаимодействующих с Украиной. Документы-приманки готовились на английском, румынском, словацком и украинском языках, что повышало их правдоподобность для получателей и усложняло детектирование на уровне контента.
По данным Zscaler, помимо Украины, атаки затронули организации в Словакии, Румынии и других странах Центральной и Восточной Европы. Такая география характерна для APT28, которая традиционно фокусируется на дипломатических, оборонных, энергетических и правительственных структурах региона.
Цепочка заражения: от Office-документа до Covenant C2
Использование WebDAV и COM hijacking
При открытии вредоносного документа Office инициировалась цепочка загрузки через WebDAV — сетевой протокол, позволяющий обращаться к удаленным файлам как к локальным. Это позволяло злоумышленникам динамически подгружать дополнительные компоненты без явного вложения их в документ.
Ключевой техникой закрепления в системе стало COM hijacking — подмена легитимных компонентов COM (Component Object Model), которые используются Windows и приложениями для взаимодействия между модулями. В рамках атаки применялись:
- вредоносная библиотека EhStoreShell.dll;
- шеллкод, скрытый внутри изображения SplashScreen.png (стеганография/маскировка под медиафайл);
- запланированная задача OneDriveHealth для автоматического запуска вредоносного кода.
Covenant и дополнительная малварь
Финальным этапом компрометации становилась загрузка и развертывание фреймворка Covenant — многофункциональной платформы дистанционного управления скомпрометированными системами (C2). APT28 уже применяла Covenant в июне 2025 года для доставки малвари BeardShell и SlimAgent, что указывает на устойчивое использование этого инструмента в их арсенале.
Для связи с командными серверами Covenant задействовался облачный сервис Filen, что усложняет блокировку трафика: сетевые запросы маскируются под легитимную работу с облаком. Дополнительно через дроппер распространялись два типа вредоносного ПО:
- MiniDoor — стилер, ориентированный на кражу данных почты Microsoft Outlook с использованием макросов и автоматизации работы клиента;
- PixyNetLoader — загрузчик для Covenant Grunt с функциями удаленного доступа, сбора данных, перемещения по сети и других задач постэксплуатации.
Стратегическое значение атаки и уроки для организаций
Комбинация 0-day уязвимости в Office, целевого фишинга на нескольких языках, COM hijacking и использования облачных C2-каналов демонстрирует зрелый, многоуровневый подход APT28. Такие операции нацелены на длительное скрытое присутствие, разведку в сетях жертв и подготовку к возможным дальнейшим деструктивным или информационным кампаниям.
Сценарий подчеркивает несколько критически важных выводов для организаций:
- сокращение «окна уязвимости» — экстренные патчи для Office и Windows должны устанавливаться в течение часов или, максимум, нескольких дней;
- усиление защиты почты: многофакторная аутентификация, фильтрация вложений, песочницы для документов, обучение сотрудников методам распознавания фишинга;
- мониторинг аномальных операций COM, Scheduled Tasks и активности WebDAV как индикаторов скрытого внедрения;
- ограничение использования макросов Office и внедрение политики «макросы только из доверенных источников».
Организациям в Украине и странах Европы, особенно в государственных, оборонных и критически важных секторах, имеет смысл пересмотреть свои процессы управления уязвимостями, уделить особое внимание цепочке поставок ПО и усилить мониторинг постэксплуатационной активности. Регулярный аудит конфигураций Office, жесткая политика обновлений и инвестирование в современные средства обнаружения угроз существенно снижают шансы APT-группировок успешно закрепиться в инфраструктуре.
