Группа киберразведки Positive Technologies зафиксировала новую фишинговую атаку на российские организации
Изображение: recraft
Атака проводилась с использованием трендовой уязвимости, которая затрагивает все системы с установленным Microsoft Office.
Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировалии первую фишинговую атаку с использованием уязвимости CVE-2026-21509, направленную на российские организации. Об этом исследователи рассказали в телеграм-канале ESCalator. Злоумышленники распространяли RTF-документы, оформленные под служебную переписку, и могли получить возможность украсть данные или запустить шифровальщик.
В феврале этого года злоумышленники направили фишинговые письма, содержащие файлы формата RTF, российским организациям. Письма были оформлены под служебную переписку. Внутри документов находился OLE-объект[1] с встроенным компонентом для отображения веб-страниц и работы с браузерными движками внутри программ. Пользователи открывали вложение через Microsoft Office, а уязвимость CVE-2026-21509 (оценка 7,8 по CVSS 3.1) позволяла обходить встроенную защиту софта при обработке OLE-компонентов.
Эксперты Positive Technologies отнесли эту уязвимость к трендовой еще в январе, при этом 25 февраля была зафиксирована первая фишинговая атака на российские организации с ее использованием. Разбор атаки позволил связать ее с деятельностью группировки BoTeam.
«При анализе домена rostransnadzor.digital, куда обращался документ после запуска, мы выявили, что в его SOA-записи указан контактный e-mail «gjegoshcappaniesh@gmail.com» — он же ранее фигурировал у доменов, использовавшихся в атаках группировки BoTeam. Дополнительно на возможную связь с группировкой указывает повторение характерных артефактов: одинаковое название вредоносных файлов «АКТ проверки транспортного средства», а также использование схожего доменного имени rostransnnadzor.ru. Это позволяет нам предположить, что за кампанией может стоять хакерская группировка BoTeam,» — рассказал Денис Кувшинов, руководитель департамента киберразведки Positive Technologies.
Группировка BO Team, действующая также под псевдонимами Black Owl, Lifting Zmiy и Hoody Hyena, впервые громко заявила о своем существовании в начале 2024 года. Деятельность злоумышленников сосредоточена на разрушении ИТ-инфраструктуры жертв, а в ряде случаев они прибегают к шифрованию данных с целью последующего вымогательства.
Для минимизации рисков безопасности рекомендуется как можно скорее обновить Microsoft Office до исправленной версии, а также использовать продукты для управления уязвимостями, которые в режиме актуального времени обновляют базы трендовых уязвимостей.
