Группа киберразведки Positive Technologies зафиксировала новую фишинговую атаку на российские организации

Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировали первую фишинговую атаку с использованием уязвимости CVE-2026-21509, направленную на российские организации. Злоумышленники распространяли RTF-документы, оформленные под служебную переписку, и могли получить возможность украсть данные или запустить шифровальщик. Об этом CNews сообщили представители Positive Technologies.

В феврале 2026 г. злоумышленники направили фишинговые письма, содержащие файлы формата RTF, российским организациям. Письма были оформлены под служебную переписку. Внутри документов находился OLE-объект[1] с встроенным компонентом для отображения веб-страниц и работы с браузерными движками внутри программ. Пользователи открывали вложение через Microsoft Office, а уязвимость CVE-2026-21509 (оценка 7,8 по CVSS 3.1) позволяла обходить встроенную защиту софта при обработке OLE-компонентов.

Эксперты Positive Technologies отнесли эту уязвимость к трендовой еще в январе, при этом 25 февраля была зафиксирована первая фишинговая атака на российские организации с ее использованием. Разбор атаки позволил связать ее с деятельностью группировки BoTeam.

«При анализе домена rostransnadzor.digital, куда обращался документ после запуска, мы выявили, что в его SOA-записи указан контактный e-mail «gjegoshcappaniesh@gmail.com» — он же ранее фигурировал у доменов, использовавшихся в атаках группировки BoTeam. Дополнительно на возможную связь с группировкой указывает повторение характерных артефактов: одинаковое название вредоносных файлов «АКТ проверки транспортного средства», а также использование схожего доменного имени rostransnnadzor.ru. Это позволяет нам предположить, что за кампанией может стоять хакерская группировка BoTeam,» — сказал Денис Кувшинов, руководитель департамента киберразведки Positive Technologies.

Группировка BO Team, действующая также под псевдонимами Black Owl, Lifting Zmiy и Hoody Hyena, впервые громко заявила о своем существовании в начале 2024 года. Деятельность злоумышленников сосредоточена на разрушении ИТ-инфраструктуры жертв, а в ряде случаев они прибегают к шифрованию данных с целью последующего вымогательства.

Для минимизации рисков безопасности рекомендуется как можно скорее обновить Microsoft Office до исправленной версии, а также использовать продукты для управления уязвимостями, которые в режиме актуального времени обновляют базы трендовых уязвимостей. Для защиты от ВПО рекомендуется применять продукты для выявления и реагирования на сложные атаки, а также решения, которые противостоят вредоносному ПО в режиме предотвращения на конечном устройстве или в сетевой песочнице. Если оперативное обновление невозможно, в качестве временной меры следует заблокировать активацию уязвимого OLE-компонента Shell.Explorer.1.