MaxPatrol VM
Где находятся уязвимости в вашей инфраструктуре?
Атака проводилась с использованием трендовой уязвимости, которая затрагивает все системы с установленным Microsoft Office
Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировали первую фишинговую атаку с использованием уязвимости CVE-2026-21509, направленную на российские организации. Об этом исследователи рассказали в телеграм-канале ESCalator. Злоумышленники распространяли RTF-документы, оформленные под служебную переписку, и могли получить возможность украсть данные или запустить шифровальщик.
В феврале этого года злоумышленники направили фишинговые письма, содержащие файлы формата RTF, российским организациям. Письма были оформлены под служебную переписку. Внутри документов находился OLE-объект1 с встроенным компонентом для отображения веб-страниц и работы с браузерными движками внутри программ. Пользователи открывали вложение через Microsoft Office, а уязвимость CVE-2026-21509 (оценка 7,8 по CVSS 3.1) позволяла обходить встроенную защиту софта при обработке OLE-компонентов.
Эксперты Positive Technologies отнесли эту уязвимость к трендовой еще в январе, при этом 25 февраля была зафиксирована первая фишинговая атака на российские организации с ее использованием. Разбор атаки позволил связать ее с деятельностью группировки BoTeam.
1 OLE-объект (Object Linking and Embedding) — технология Microsoft, позволяющая внедрять или связывать данные из одного приложения в другое.
«При анализе домена rostransnadzor.digital, куда обращался документ после запуска, мы выявили, что в его SOA-записи указан контактный e-mail „gjegoshcappaniesh@gmail.com“ — он же ранее фигурировал у доменов, использовавшихся в атаках группировки BoTeam. Дополнительно на возможную связь с группировкой указывает повторение характерных артефактов: одинаковое название вредоносных файлов „АКТ проверки транспортного средства“, а также использование схожего доменного имени rostransnnadzor.ru. Это позволяет нам предположить, что за кампанией может стоять хакерская группировка BoTeam».
Денис КувшиновРуководитель департамента киберразведки Positive Technologies
Группировка BO Team, действующая также под псевдонимами Black Owl, Lifting Zmiy и Hoody Hyena, впервые громко заявила о своем существовании в начале 2024 года. Деятельность злоумышленников сосредоточена на разрушении ИТ-инфраструктуры жертв, а в ряде случаев они прибегают к шифрованию данных с целью последующего вымогательства.
Для минимизации рисков безопасности рекомендуется как можно скорее обновить Microsoft Office до исправленной версии, а также использовать продукты для управления уязвимостями, которые в режиме актуального времени обновляют базы трендовых уязвимостей, такие как MaxPatrol VM. Для защиты от ВПО рекомендуется применять продукты для выявления и реагирования на сложные атаки (MaxPatrol EDR), а также решения, которые противостоят вредоносному ПО в режиме предотвращения на конечном устройстве (MaxPatrol EPP) или в сетевой песочнице (PT Sandbox). Если оперативное обновление невозможно, в качестве временной меры следует заблокировать активацию уязвимого OLE-компонента Shell.Explorer.1.
