Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Microsoft не успел, а хакеры успели. 0Day в Office помог проникнуть в инфраструктуру Европы

leer en español

Pawn Storm PRISMEX шпионаж Украина взлом
Microsoft не успел, а хакеры успели. 0Day в Office помог проникнуть в инфраструктуру Европы
Pawn Storm PRISMEX шпионаж Украина взлом

Зачем киберпреступникам графики дождей и ветров.

image

Группировка Pawn Storm запустила новую кампанию с вредоносной связкой PRISMEX и нацелилась на структуры, от которых зависят поставки помощи, транспорт и критическая инфраструктура в Украине и странах Центральной и Восточной Европы. По данным Trend Micro, под удар попали оборонные цепочки, логистика, метеослужбы и государственные организации, что указывает на интерес не только к разведке, но и к возможному срыву работы ключевых систем.

Активность группы продолжается как минимум с сентября 2025 года и усилилась в январе 2026-го. Помимо Украины, цели зафиксированы в Чехии, Польше, Румынии, Словакии, Словении и Турции, прежде всего в секторах военной логистики, транспорта и госуправления.

PRISMEX представляет собой цепочку компонентов: дроппер, загрузчик и управляющий модуль. Вредоносный код прячут внутри изображений и запускают в памяти без записи на диск, что осложняет обнаружение. Закрепление происходит через захват объектов компонентной модели Windows, а управление трафиком маскируется под легитимные облачные сервисы. Финальный этап опирается на инструмент Covenant.

В атаке использовали уязвимость CVE-2026-21509 в Microsoft Office. Специально подготовленный RTF-файл заставляет систему подключиться к удалённому серверу и загрузить вредоносный .lnk-файл без дополнительных действий пользователя. Возможна связка с CVE-2026-21513 в MSHTML: образец для неё использовал ту же инфраструктуру, хотя Trend Micro не подтвердила это напрямую.

Подготовка инфраструктуры началась 12 января 2026 года, за две недели до раскрытия CVE-2026-21509. Эксплойт для CVE-2026-21513 появился 30 января, тогда как исправление вышло только 10 февраля, что указывает на использование уязвимости нулевого дня в течение 11 дней.

Атаки распространялись через целевые письма с темами о погодных предупреждениях, военных программах и контрабанде оружия. Ранее злоумышленники маскировали файлы под списки беспилотников, прайс-листы и формы снабжения, что указывает на интерес к подразделениям, связанным с дронами и логистикой.

Trend Micro отмечает не только шпионские, но и разрушительные функции. В предыдущей активности фиксировалась команда удаления всех файлов пользователя. Это говорит о возможности перехода от разведки к саботажу, особенно на фоне атак на транспортные узлы и метеослужбы.

Новая кампания показывает смещение фокуса на инфраструктуру, которая обеспечивает военные и гуманитарные поставки. Метеоданные важны для беспилотников и артиллерии, польская железная дорога служит ключевым транзитом помощи, а транспортные маршруты Румынии, Словении и Турции обеспечивают альтернативные поставки.

PRISMEX демонстрирует сочетание новых уязвимостей, скрытой загрузки кода и использования доверенных сервисов. Для организаций из оборонного, транспортного и государственного секторов такой подход означает повышенный риск, поскольку атаки становятся менее заметными и быстрее закрепляются внутри инфраструктуры.