СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:33
#ИБ

BO Team использует CVE-2026-21509 в Microsoft Office

В феврале 2023 года ряд российских организаций стал целью изощрённой фишинговой кампании, организованной группой, известной как BO Team (также называемой Black Owl, Lifting Zmiy и Hoody Hyena). Злоумышленники использовали специально оформленные RTF-вложения в электронных письмах, что позволило им обойти встроенные механизмы защиты Microsoft Office и получить несанкционированный доступ к ИТ-инфраструктуре жертв.

Что произошло

Атака строилась следующим образом:

  • Жертвам рассылались фишинговые письма с вложениями в формате RTF, маскировавшимися под официальную деловую переписку.
  • При открытии таких вложений в приложениях Microsoft Office злоумышленники эксплуатировали уязвимость CVE-2026-21509, позволяющую обходить средства защиты при работе с компонентами OLE и создавать объекты COM.
  • Созданный объект COM обращался к удалённому .lnk‑файлу, который запускал последующие этапы атаки и приводил к компрометации систем.

«При открытии документа уязвимость позволяет создать объект COM, который обращается к удалённому .lnk‑файлу и запускает последующие этапы атаки.»

Индикаторы компрометации и связь с BO Team

Анализ инфраструктуры атаки выявил явные корреляции с предыдущими операциями BO Team:

  • Домен Ространснадзор.digital при проверке SOA-серверов содержал адрес электронной почты gjegoshcappaniesh@gmail.com, ранее связанный с более ранними атаками группы.
  • Повторяющиеся характеристики эксплойтов и артефактов — в том числе использование одинакового наименования вредоносного файла «АКТ техосмотра транспортного средства» и похожих доменных имён, например rostransnnadzor.ru — усиливают корреляцию с тактикой BO Team.

Техническая суть уязвимости

Уязвимость CVE-2026-21509 позволяет злоумышленникам обойти проверки безопасности Microsoft Office при работе с OLE-объектами. В результате атакующий может инициировать создание COM-объекта внутри документа, который затем обращается к внешним ресурсам и загружает .lnk-файл, используемый для продолжения компрометации.

Рекомендации по снижению рисков

Эксперты настоятельно рекомендуют предпринять следующие меры:

  • Немедленно обновить Microsoft Office до последней версии с исправлениями безопасности.
  • Если обновление невозможно прямо сейчас — временно заблокировать активацию уязвимого компонента OLE Shell.Explorer.1 (CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B), чтобы предотвратить эксплуатацию в рабочей среде.
  • Проверить и заблокировать доступ к подозрительным доменам (включая Ространснадзор.digital и rostransnnadzor.ru), добавить их в список блокировки на сетевом периметре и в прокси/фильтрах почты.
  • Идентифицировать и удалить/проанализировать все файлы с наименованием «АКТ техосмотра транспортного средства» и другие подозрительные вложения, а также проверить журналы на предмет обращений к удалённым .lnk‑ресурсам.
  • Усилить обучение пользователей: предупредить о рисках открытия вложений RTF и других подозрительных файлов, особенно от неизвестных отправителей.
  • Организовать мониторинг и реагирование: настроить SIEM на обнаружение аномалий, связанных с созданием COM‑объектов и обращениями к внешним .lnk‑файлам.

Вывод

Кампания BO Team снова показала, что хорошо подготовленные целевые фишинговые атаки остаются эффективным способом проникновения в корпоративные сети, особенно при наличии уязвимостей в популярных приложениях. Патчинг уязвимостей и временная блокировка уязвимых компонентов — ключевые меры для немедленной защиты. Организациям рекомендуется срочно проверить свои системы на предмет индикаторов компрометации и внедрить предложенные контрмеры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: