У Microsoft вышла «дыра», а у хакеров — праздник. APT28 обновила рекорды скорости

Группировка APT28 начала использовать новую уязвимость в Microsoft Office почти сразу после ее публичного раскрытия. По данным исследователей, атаки стартовали уже через три дня и были нацелены на пользователей в Украине, Словакии и Румынии.

Специалисты компании Zscaler сообщили, что кампания получила название Operation Neusploit. В основе атак лежит уязвимость CVE-2026-21509 с оценкой CVSS 7.8. Проблема позволяет обойти защитные механизмы Office. Злоумышленнику достаточно отправить специально подготовленный файл, после открытия которого запускается вредоносный код.

Уязвимость обнаружили и передали разработчику специалисты центра анализа угроз Microsoft, центра реагирования на инциденты безопасности Microsoft, команды безопасности Office, а также группа анализа угроз Google. Исследователи отмечают, что для обмана жертв использовались письма и документы на английском, румынском, словацком и украинском языках. Серверы злоумышленников применяли фильтрацию запросов и отдавали вредоносные модули только в том случае, если запрос поступал из нужной страны и содержал подходящие служебные данные браузера.

Атака начинается с вредоносного RTF-документа. Через него на устройство загружается один из двух загрузчиков. Первый устанавливает модуль кражи почты MiniDoor. Он написан на языке C++ и выгружает письма из папок «Входящие», «Спам» и «Черновики», после чего пересылает их на заранее заданные адреса злоумышленников. По оценке аналитиков, MiniDoor является упрощенной версией ранее известного инструмента NotDoor.

Второй загрузчик под названием PixyNetLoader разворачивает более сложную цепочку заражения. Он закрепляется в системе через подмену COM-объектов и извлекает дополнительные компоненты, среди которых модуль запуска кода и изображение в формате PNG. В картинку спрятан машинный код с применением стеганографии. Загрузчик извлекает его и выполняет, но только если убеждается, что работает не в среде анализа и запущен через процесс проводника Windows. В противном случае вредоносная активность не проявляется.

В итоге в систему загружается компонент платформы удаленного управления Covenant, написанной на .NET. Похожие приемы APT28 уже применяла в другой кампании, которую специалисты по безопасности описывали в 2025 году. Тогда использовались макросы, теперь их заменили библиотекой DLL, но методы закрепления, шифрование строк и скрытие кода в изображении остались прежними.

Одновременно правительственная команда реагирования на компьютерные инциденты Украины сообщила о собственном расследовании этих атак. По ее данным, злоумышленники рассылали документы Word более чем на 60 адресов центральных органов исполнительной власти. Один из файлов-приманок был создан 27 января 2026 года. При открытии документа устанавливалось соединение с внешним сервером по протоколу WebDAV, после чего загружался файл с ярлыком, который запускал дальнейшую цепочку заражения. Она полностью совпадает со схемой PixyNetLoader и также приводит к установке управляющего модуля Covenant.