#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленная многоэтапная Вредоносная Кампания использует спам-письма на тему DHL для доставки Phantom Stealer версии 3.5.0. Атака начинается с ZIP-файла, содержащего вводящий в заблуждение исполняемый файл с именем DHL-INVOICE.exe , который имеет цифровую подпись, чтобы казаться законным. Второй этап вредоносного ПО использует XLoader для динамической загрузки полезной нагрузки в память, используя такие методы, как Внедрение в пустой процесс, и завершается развертыванием Phantom Stealer, сложного .NET-вредоносного ПО, основанного на .NET, способного красть учетные данные, осуществлять Регистрацию нажатием клавиш и облегчать эксфильтрацию данных.
-----

Недавно выявленная многоэтапная Вредоносная Кампания использует спам-рассылку на тему DHL в качестве первоначального источника заражения с целью доставки вредоносного ПО версии Phantom Stealer v3.5.0. Атака начинается с вводящего в заблуждение электронного письма со строкой темы "СЧЕТ DHL", в котором получателям предлагается открыть вложенный ZIP-файл, маскирующий вредоносный исполняемый файл под законный счет. В электронном письме отсутствуют конкретные данные, такие как номера отслеживания, что указывает на массовый спам.

После извлечения ZIP-файла в нем обнаруживается исполняемый файл с именем DHL-INVOICE.exe, к которому прилагаются необходимые библиотеки DLL во время выполнения. Примечательно, что DHL-INVOICE.exe имеет цифровую подпись Azul Systems, Inc., что придает ему ложную легитимность. Изначально появившийся как стандартный файл Java-утилиты, на самом деле его функциональность вредоносна. Названный в честь легального Java-архиватора, файл выполняет функции, обычно связанные с jli.dll. Однако эти функции, несмотря на их знакомые названия, вместо этого выполняют вредоносный код.

Второй этап предполагает использование jli.dll , который идентифицируется как XLoader. Этот компонент инициирует вредоносную логику с помощью таких методов, как MW_MainDispatcher, который облегчает поиск конфигурации и управляет загрузкой фактической полезной нагрузки. XLoader имеет запутанный поток управления, который включает в себя критически важные функции для проверки и загрузки переносимых исполняемых файлов (PE). Сначала он проверяет наличие действительных сигнатур DOS, гарантируя, что обрабатываемые файлы действительно являются исполняемыми, а затем проводит дальнейшие проверки для проверки двоичных форматов PE.

После подтверждения целостности PE-файла XLoader приступает к ручной загрузке полезной нагрузки в память, не прибегая к стандартным API-интерфейсам загрузчика Windows. Он использует такие процессы, как выделение памяти с определенными разрешениями и копирование данных заголовка и раздела из PE-файла в свою собственную выделенную память. Этот метод включает в себя такие методы, как Внедрение в пустой процесс, при котором вредоносная полезная нагрузка внедряется в законные .NET-процессы, чтобы запутать их активность.

Кульминацией третьего этапа является развертывание Phantom Stealer версии 3.5.0, которая проявляется как вредоносное ПО на базе .NET с возможностями кражи учетных данных из браузеров и электронной почты, мониторинга систем с помощью Регистрации нажатий клавиш и скриншотов, а также упрощения эксфильтрации данных по различным каналам, включая FTP и Telegram. Полезная нагрузка обладает механизмами антианализа и использует методы закрепления, что подчеркивает ее сложность и зрелость как вредоносного ПО.

Весь процесс демонстрирует, как безобидное на вид электронное письмо со счетом-фактурой может привести к заражению сложным вредоносным ПО, эффективно иллюстрируя опасность, которую представляют тактики социальной инженерии в киберугрозах.

#ParsedReport #CompletenessMedium
29-01-2026

Punishing Owl attacks Russia: a new owl in the hacktivist forest

https://habr.com/ru/companies/pt/articles/990374/

Report completeness: Medium

Actors/Campaigns:
Punishing_owl (motivation: hacktivism)

Threats:
Bec_technique
Zipwhisper

Victims:
Government agency, Security industry

Industry:
Government

Geo:
Brazilian, Russia, Kazakhstan, Russian, Brazil

ChatGPT TTPs:
do not use without manual check
T1027, T1204.001, T1204.002, T1566.001, T1566.002, T1583.001, T1583.006, T1584.002, T1585.001, T1585.002, have more...

IOCs:
Domain: 1
IP: 1
File: 1
Email: 1
Hash: 18

Algorithms:
zip, sha256, md5, sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
12 декабря 2025 года хакерская группа Punishing Owl нацелена на российское государственное агентство безопасности, осуществив утечку внутренних документов через сайт утечки данных и Mega.nz хранилище. Впоследствии они осуществили атаки с компрометацией деловой электронной почты (BEC), используя скомпрометированные Адреса эл. почты, чтобы выдать себя за учреждение, отправляя вредоносные электронные письма с защищенным паролем ZIP-архивом, в котором скрывался файл LNK, замаскированный под PDF. Деятельность группы указывает на политически мотивированный хактивистский характер, потенциально связанный с Казахстаном, на фоне растущей геополитической напряженности.
-----

12 декабря 2025 года хакерская группа, известная как Punishing Owl, осуществила атаку на российское правительственное учреждение, связанное с сектором безопасности. Они раскрыли свои действия в сообщении, которое содержало ссылки на сайт утечки данных (DLS), содержащий внутренние документы скомпрометированного агентства, а также Mega.nz хранилище, в котором хранятся те же файлы. Эта операция знаменует появление Punishing Owl как политически мотивированной хактивистской организации, нацеленной на российские учреждения.

Сообщается, что после первоначального взлома Punishing Owl запустила атаки на компрометацию деловой электронной почты (BEC), нацеленные на деловых партнеров жертвы. Группа использовала скомпрометированные Адреса эл. почты для информирования этих контрагентов о взломе и утверждала, что были затронуты как сеть учреждения, так и данные его клиентов. Электронные письма направляли получателей на домен с измененными записями DNS, которые перенаправлялись на DLS. Примечательно, что эти сообщения были отправлены с бразильского сервера, и отправитель выдавал себя за учреждение-жертву, используя Адрес эл. почты, полученный из скомпрометированного домена.

Вредоносные электронные письма содержали защищенный паролем ZIP-архив, в котором скрывался файл LNK, который был замаскирован под документ PDF с двойным расширением, что позволило использовать тактику социальной инженерии для обмана получателей. Этот метод отражает распространенный прием, используемый в кибератаках, когда типы файлов изменяются, чтобы скрыть вредоносный контент.

Онлайн-активность группы предполагает, что ее операциями могут управлять из Казахстана, как следует из внутренних алгоритмов социальной сети, привязанной к их аккаунту. Это наблюдение связано с более широким геополитическим контекстом, где ожидается, что растущая политическая напряженность приведет к появлению новых группировок хактивистов как в российском, так и в глобальном киберпространстве. Деятельность Punishing Owl может представлять собой заметный сдвиг в мотивах и методах, используемых появляющимися хакерскими группировками в условиях продолжающегося международного конфликта.

#ParsedReport #CompletenessHigh
02-02-2026

APT28 Leverages CVE-2026-21509 in Operation Neusploit

https://www.zscaler.com/blogs/security-research/apt28-leverages-cve-2026-21509-operation-neusploit

Report completeness: High

Actors/Campaigns:
Neusploit
Fancy_bear
Phantom_net_voxel

Threats:
Minidoor
Pixynetloader
Covenant_c2_tool
Grunt
Notdoor
Steganography_technique
Com_hijacking_technique
Spear-phishing_technique

Victims:
Users in central and eastern europe

Geo:
Romania, Russia, Slovakia, Romanian, Ukraine, Ukrainian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 5
Technics: 15

IOCs:
Path: 6
Registry: 1
Email: 2
File: 5
Command: 2
Domain: 2
Url: 3
Hash: 12

Soft:
Outlook, Microsoft Outlook Visual Basic for Applications, Windows registry, Microsoft Outlook, Windows scheduled task, Microsoft Office, Component Object Model

Algorithms:
xor, base64

Functions:
DeleteAfterSubmit, Sleep

Win API:
CreateProcess, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, NtAllocateVirtualMemory, SafeArrayCreate, SafeArrayAccessData

Links:
https://github.com/ThreatLabz/tools/blob/main/apt28/operation\_neusploit/minidoor.txt
have more...
https://github.com/ThreatLabz/tools/blob/main/apt28/operation\_neusploit/office.xml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Neusploit, атрибутируемая с группой APT28, была нацелена на страны Центральной и Восточной Европы с использованием созданных Microsoft RTF-файлов для использования CVE-2026-21509. В результате атаки была создана вредоносная библиотека dropper DLL в двух вариантах: один, MiniDoor, крадет электронные письма из Outlook, в то время как второй, PixyNetLoader, использует Стеганографию для выполнения сборки .NET, привязанной к платформе Covenant C2 framework. Кампания демонстрирует передовые методы, включая проверку окружающей среды на скрытность и закрепление с помощью запланированных задач.
-----

В январе 2026 года Zscaler ThreatLabZ выявил киберкампанию, известную как Operation Neusploit, в которой участвовала APT-группировка, вероятно, APT28, связанная с Россией. Кампания в первую очередь была нацелена на страны Центральной и Восточной Европы, в частности на Украину, Словакию и Румынию, используя специально созданные файлы Microsoft RTF для использования критической уязвимости CVE-2026-21509. Эти документы содержали приманки социальной инженерии на различных языках, адаптированные для региональной аудитории, что позволяло проводить эффективную атаку с Целевым фишингом.

Эксплуатация приводит к многоэтапному процессу заражения, инициируемому специально созданным RTF-файлом. Успешная эксплуатация позволяет загрузить вредоносную библиотеку dropper DLL с сервера злоумышленника. Были идентифицированы два различных варианта этой капельницы, каждый из которых содержит различные компоненты при заражении. Первый вариант развертывает проект Visual Basic for Applications (VBA), известный как MiniDoor, который разработан специально для кражи электронных писем из зараженного приложения Microsoft Outlook. MiniDoor работает как облегченная библиотека DLL, написанная на C++, использующая экспортируемую функцию под названием UIClassRegister и использующая минимальные методы запутывания.

Второй вариант дроппера, названный PixyNetLoader, инициирует более сложную цепочку атак, которая начинается с загрузки нескольких компонентов после использования уязвимости. Это включает в себя библиотеку DLL с именем EhStorShell.dll, которая отвечает за выполнение встроенного шеллкода, извлеченного из файла PNG с использованием Стеганографии. В файле PNG хранится шелл-код, в котором наименее значимые биты пиксельных данных обрабатываются для сокрытия вредоносных инструкций. Основная цель шелл-кода - загрузить сборку .NET, связанную с платформой Covenant C2, известной как Covenant Grunt. Этот имплантат взаимодействует с злоумышленником, используя законные вызовы API, что знаменует заметную эволюцию методов APT28.

Оперативные детали указывают на изощренность кампании, использование экологических проверок и адаптивных методов для обеспечения скрытности и эффективности цепочек заражения. Например, EhStorShell.библиотека dll выполняет свои вредоносные функции только при соблюдении определенных условий, например, при подтверждении того, что среда выполнения не виртуализирована или не изолирована. Кроме того, кампания включала запланированные задачи для обеспечения закрепления и выполнения при срабатывании системы.

#ParsedReport #CompletenessLow
02-02-2026

Dual-Mode Citrix Gateway Reconnaissance: When Residential Proxies Meet Version Hunting

https://www.labs.greynoise.io/grimoire/2026-02-02-citrix-recon-residential-proxies/

Report completeness: Low

Threats:
Residential_proxy_technique

Victims:
Citrix infrastructure

Industry:
Telco

Geo:
Mexico, Canada, Vietnam, Iraq, Algeria, Argentina

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1090, T1090.003, T1583.003, T1584.004, T1590.005, T1592.004, T1595, T1595.001

IOCs:
IP: 11

Soft:
Chrome, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по разведке была нацелена на инфраструктуру Citrix, используя более 63 000 residential proxies и ресурсы AWS для выявления уязвимых систем и сбора сведений о версиях. 1 февраля всплеск запросов с 10 IP-адресов AWS, связанных с файлом настройки Citrix Endpoint Analysis, свидетельствовал о потенциальном злонамеренном намерении. Анализ выявил единственный IP-адрес Microsoft Azure, генерирующий значительный трафик, и использовал уникальные методы снятия отпечатков пальцев по протоколу TCP, что указывает на скрытный подход к разведке.
-----

Недавний анализ выявил скоординированную кампанию разведки, нацеленную на инфраструктуру Citrix, с использованием более 63 000 residential proxies и ресурсов AWS для сопоставления панелей входа и перечисления сведений о версиях. Кампания состояла из двух синхронизированных операций, которые начались незадолго до 1 февраля и были направлены исключительно на выявление уязвимых систем Citrix и сбор информации о версиях, указывающей на подготовительные шаги к потенциальному использованию.

Один из самых поразительных аспектов кампании стало широкое использование единого Майкрософт Azure Канада IP-адрес, который несет ответственность за создание почти 39,500 занятия—36% от общего входа с помощью панели трафик отметил. Анализ показывает, что "Прометей" черного ящика-экспортер агент пользователя был трудоустроен, хотя такие агенты пользователей нередко легко подделать, они также могут быть эффективно контролируется и блокируется системами безопасности.

Тревожным аспектом этой разведки стала сосредоточенная активность, наблюдавшаяся 1 февраля, когда 10 IP-адресов AWS в совокупности сгенерировали 1892 запроса, нацеленных на установочный файл Citrix Endpoint Analysis, всего за шесть часов. Этот всплеск активности вызывает тревогу относительно последующих злонамеренных намерений, учитывая сосредоточенность на получении конфиденциальных сведений о системе, которые могут способствовать дальнейшим эксплойтам.

Более того, анализ отпечатков пальцев TCP показал, что доминирующий источник Azure демонстрирует уникальный профиль вложенной инкапсуляции VPN/туннеля с нестандартным максимальным размером сегмента (MSS), установленным значительно ниже типичного порогового значения. Такая схема работы предполагает методичный подход к сохранению скрытности в процессе разведки, отражающий повышенную осведомленность об операционной безопасности сети.

В свете этой кампании рекомендуется принять несколько защитных мер. Организациям следует пересмотреть свои возможности использования внешнего Citrix Gateway и подтвердить бизнес-необходимость любых развертываний, ориентированных на Интернет. Внедрение строгих протоколов аутентификации для критически важных каталогов, таких как /epa/scripts/ directory, имеет жизненно важное значение. Кроме того, следует установить конфигурации для подавления раскрытия версий в HTTP-ответах, и крайне важно отслеживать попытки аномального доступа, исходящие от местных интернет-провайдеров в неожиданных географических точках, чтобы упреждающе выявлять потенциальные угрозы.

#ParsedReport #CompletenessLow
02-02-2026

How fake party invitations are being used to install remote access tools

https://www.malwarebytes.com/blog/threat-intel/2026/02/how-fake-party-invitations-are-being-used-to-install-remote-access-tools

Report completeness: Low

Threats:
Screenconnect_tool
Lolbin_technique

Victims:
Individual users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1204.002, T1218.007, T1566.001

IOCs:
File: 2
Domain: 1

Soft:
Windows service, TikTok

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя мошенническая кампания нацелена на частных лиц в Великобритании путем распространения поддельного приглашения на вечеринку, которое устанавливает клиентское средство удаленного доступа ScreenConnect в системах Windows. Файл MSI, замаскированный под приглашение, запускается msiexec.exe для бесшумной установки программного обеспечения, позволяющего злоумышленникам получить контроль над скомпрометированными системами через зашифрованные соединения. Признаки компрометации включают наличие файла RSVPPartyInvitationCard.msi, неожиданную установку клиента ScreenConnect и необычные исходящие подключения к определенным доменам ретрансляции.
-----

Недавно появилась мошенническая кампания, использующая поддельные приглашения на вечеринки, чтобы обманом заставить жертв установить инструмент удаленного доступа под названием ScreenConnect Client на их компьютеры с Windows. Эта атака в первую очередь нацелена на отдельных лиц в Великобритании, но потенциально может распространиться и на другие регионы. Мошенничество осуществляется путем распространения файла MSI, замаскированного под приглашение на вечеринку, который при открытии выполняет msiexec.exe для автоматической установки программного обеспечения удаленного доступа без согласия пользователя.

Как только клиент ScreenConnect установлен, он устанавливает зашифрованные исходящие соединения со своими ретрансляционными серверами, предоставляя злоумышленникам полный контроль над скомпрометированными системами. Этот метод особенно эффективен, поскольку он использует нормальное человеческое любопытство и склонность положительно реагировать на кажущиеся безобидными сообщения, что делает его малорискованным для потенциальных жертв.

Признаки того, что система могла быть затронута этим мошенничеством, включают наличие загруженного файла с именем RSVPPartyInvitationCard.msi, неожиданную установку клиента ScreenConnect, наличие Службы Windows, связанной со ScreenConnect случайными символами, и исходящие HTTPS-соединения с доменами ретрансляции ScreenConnect. Кроме того, если система разрешает домен, связанный с приглашением, xnyr.digital, это может быть явным признаком компрометации.

Пользователям рекомендуется отключиться от Интернета, чтобы предотвратить дальнейшее использование, проверить свои системы на наличие клиента ScreenConnect и удалить его, если он обнаружен. Выполнение всесторонней проверки безопасности и смена важных паролей с защищенного устройства также являются рекомендуемыми действиями для уменьшения потенциального ущерба от атаки.

#ParsedReport #CompletenessHigh
02-02-2026

The Chrysalis Backdoor: A Deep Dive into Lotus Blossoms toolkit

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit

Report completeness: High

Actors/Campaigns:
Dragonfish (motivation: cyber_espionage)

Threats:
Chrysalis
Dll_sideloading_technique
Warbird_loader
Microsoft_warbird_tool
Metasploit_tool
Cobalt_strike_tool
Process_injection_technique

Victims:
Government, Telecom, Aviation, Critical infrastructure, Media, Southeast asia, Central america

Industry:
Government, Aerospace, Telco, Critical_infrastructure

Geo:
America, Chinese, Malaysia, Asia

TTPs:
Tactics: 5
Technics: 20

IOCs:
File: 13
IP: 4
Hash: 16
Domain: 2
Path: 2

Soft:
NSIS installer, Google Chrome, Windows Service, Mac OS

Algorithms:
fnv1-a, rc4, murmur, sha256, fnv-1a, xor

Win API:
GetProcAddress, LoadLibraryA, ShellExecuteA, HttpSendRequestA, GetOEMCP, CreateProcessW, GetLogicalDriveStringsA, GetDriveTypeA, InternetConnectA, CreateThread, have more...

Platforms:
intel, x64

Links:
https://github.com/rapid7/metasploit-framework/blob/master/external/source/shellcode/windows/x86/src/block/block\_api.asm
https://github.com/phoenixthrush/Tiny-C-Compiler
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 6, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка Lotus Blossom была связана с изощренной хакерской кАмпанией по борьбе с киберугрозами, использующей недавно обнаруженный бэкдор Chrysalis, который получает первоначальный доступ через замаскированный установщик NSIS. Бэкдор использует стороннюю вредоносную библиотеку, которая расшифровывает и выполняет шелл-код, который настраивает закрепление и собирает системную информацию с помощью различных скрытых методов, включая пользовательское хэширование и модификации реестра. Он взаимодействует с сервером C2 по протоколу HTTP и демонстрирует расширенные возможности, такие как Отражающая загрузка кода и выполнение в одном экземпляре, чтобы улучшить свою тактику уклонения.
-----

Была выявлена изощренная хакерская кАмпания, атрибутируемая с китайской APT-группировкой Lotus Blossom, центральным компонентом которой является недавно обнаруженный бэкдор Chrysalis. Lotus Blossom, который работает с 2009 года, традиционно ориентирован на такие секторы, как государственное управление, телекоммуникации и критически важная инфраструктура в Юго-Восточной Азии и Центральной Америке. Первая точка входа часто достигается с помощью замаскированного установщика NSIS с именем "update.exe ," который служит вектором для начальной полезной нагрузки.

При выполнении <url> — по сути, перепрофилированного легитимного приложения — вредоносная библиотека регистрируется в журнале.библиотека dll загружается сбоку, что приводит к двум критически важным функциям - LogInit и LogWrite. Эти функции расшифровывают и выполняют шелл-код, отмечая инициализацию Backdoor. Вредоносное ПО использует специальный алгоритм хэширования для разрешения API, сочетающий FNV1a и этап завершения в стиле MurmurHash, что усложняет обнаружение.

Расшифрованные шеллкода затем загружает светоотражающие PE-как модуль, который инициирует стандартной среды выполнения Microsoft с (ЭЛТ) процедуры динамически импортировать необходимые библиотеки, такие как oleaut32.dll и shell32.dll. Конфигурация вредоносное ПО обеспечением шифруется и сохраняется в файл, используя метод шифрования RC4 расшифровки, что позволяет настроить закрепление путем создания сервиса или изменения реестра и сбора сведений о системе, версию операционной системы и антивирусного программного обеспечения.

Более того, вредоносное ПО предназначено для принудительного выполнения в одном экземпляре путем регистрации мьютекса. Если мьютекс уже присутствует, вредоносное ПО прекращает выполнение. Собранные данные хэшируются в целях идентификации, что добавляет еще один уровень их операционной безопасности. Связь с сервером командования и контроля (C2), который был отключен во время первоначального анализа, осуществляется посредством HTTP-запросов, что еще больше подчеркивает скрытый характер этой платформы.

Дополнительные артефакты, такие как наличие "libtcc.dll " и необычный исходный файл на языке Си с именем "conf.c" предполагают связь с компилятором Tiny-C, облегчающим выполнение кода с помощью встроенного шеллкода. Это дополнение поддерживает сложности Lotus blossom'S, который объединяет в себе несколько механизмов, чтобы обойти меры безопасности при использовании DLL sideloading и отраженная загрузка кода.

Открытие этих расширенных возможностей указывает на эволюцию стратегии Lotus Blossom's, использующей надежный многоуровневый шелл-код и неуловимые методы выполнения. Зависимость вредоносного ПО как от документированных, так и от недокументированных Windows API означает заметный сдвиг в сторону создания устойчивого и незаметного присутствия в скомпрометированных средах.

#ParsedReport #CompletenessMedium
03-02-2026

CVE-2026-21509: APT28 Actively Exploits Microsoft Office Vulnerability in Ukraine

https://socradar.io/blog/cve-2026-21509-apt28-microsoft-office-ukraine/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, cyber_espionage)

Threats:
Com_hijacking_technique
Covenant_c2_tool

Victims:
Government, Diplomatic organizations

Industry:
Government

Geo:
Pol, Ukraine, Ukrainian, Russian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1204.002, T1566.001

IOCs:
File: 12
Url: 10
Domain: 3
IP: 12
Registry: 1
Command: 2
Hash: 9

Soft:
Microsoft Office, Microsoft Word, Windows Registry

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-21509 - это уязвимость высокой степени серьезности в Microsoft Office с оценкой CVSS 7,8, используемая российской группой APT28 против правительственных и дипломатических учреждений. В атаке используется социальная инженерия, требующая взаимодействия с пользователем для открытия вредоносных документов, которые затем инициируют многоэтапный процесс заражения. Все современные версии Microsoft Office для обеих архитектур уязвимы, что подчеркивает настоятельную необходимость применения пользователями исправлений безопасности.
-----

CVE-2026-21509 - это уязвимость высокой степени серьезности, обнаруженная в Microsoft Office, затрагивающая почти все современные версии программного обеспечения. Уязвимость, которая имеет оценку CVSS 7,8, в настоящее время используется в активных атаках, организованных связанной с Россией группой APT28 (UAC-0001), нацеленных конкретно на правительственные и дипломатические организации, что подчеркивает спектр угроз, связанных с этим недостатком.

Использование CVE-2026-21509 происходит с помощью тактики социальной инженерии, когда злоумышленники создают вредоносные документы Microsoft Office в обход стандартных мер безопасности. В отличие от автоматических атак, процесс эксплуатации требует взаимодействия с пользователем, поскольку жертвы должны открыть зараженные документы, чтобы атака была успешной. Это делает фишинг и поддельные документы основными направлениями для первоначального компрометации.

Цепочка технического выполнения включает в себя многоэтапный процесс заражения, запускаемый после открытия Вредоносного файла. CERT-UA наблюдал эту цепочку убийств в ходе различных атак, особенно направленных на цели в Украине и ЕС. Конкретные детали цепочки заражения демонстрируют, как уязвимость облегчает внедрение вредоносного ПО через приложения Office, позволяя злоумышленникам закрепиться в скомпрометированных сетях.

Все версии Microsoft Office, работающие как на 32-разрядной (x86), так и на 64-разрядной (x64) архитектурах, подвержены этой уязвимости, что подчеркивает риск для широкого круга пользователей, которые еще не установили необходимые исправления. Риску подвержены две основные группы: организации, которые в настоящее время являются объектами активных кампаний, и любые организации, которым еще предстоит обновить свои системы с помощью исправлений безопасности.

Чтобы снизить риск, связанный с CVE-2026-21509, организациям, использующим уязвимые версии Microsoft Office, важно своевременно внедрять внешние обновления для системы безопасности, выпускаемые Корпорацией Майкрософт. Этот шаг имеет решающее значение для защиты от активных эксплойтов, использующих эту значительную уязвимость.