Державна служба спеціального зв'язку та захисту інформації України, через свою команду реагування на комп'ютерні надзвичайні події CERT-UA, зафіксувала нову хвилю цілеспрямованих кібератак. Ці атаки здійснюються відомим російським державним угрупованням UAC-0001, також відомим у світі як APT28 (Fancy Bear, Strontium, Pawn Storm, Sofacy).
Основним вектором атаки є розповсюдження шкідливих DOC-файлів, які містять експлойт для вразливості CVE-2026-21509. Один з виявлених документів мав назву «Consultation_Topics_Ukraine(Final).doc» і був тематично пов'язаний з консультаціями Комітету постійних представників при ЄС (COREPER) щодо ситуації в Україні. Це свідчить про використання актуальних геополітичних тем для підвищення ефективності фішингових кампаній.
Угруповання UAC-0001 (APT28) є одним з найактивніших і найнебезпечніших кібершпигунських акторів, пов'язаних з Головним розвідувальним управлінням (ГРУ) Генерального штабу Збройних сил РФ. Їхні операції традиційно спрямовані на збір розвідувальної інформації та дестабілізацію, особливо в контексті України та країн НАТО.
Ключовим елементом цієї кампанії є використання експлойту для вразливості CVE-2026-21509. Цей експлойт вбудований безпосередньо у DOC-файл і активується при його відкритті. Успішна експлуатація дозволяє зловмисникам виконати довільний код на скомпрометованій системі, що може призвести до:
- Завантаження та встановлення додаткового шкідливого програмного забезпечення.
- Отримання віддаленого контролю над системою.
- Викрадення конфіденційних даних.
- Подальшого розвитку атаки всередині мережі організації.
Вибір тематики документа, що імітує офіційні консультації на високому рівні, є класичною тактикою соціальної інженерії, спрямованою на обхід пильності потенційних жертв.
Ця кібератака становить серйозну загрозу для широкого кола організацій та установ:
- Державні органи України: Особливо ті, що залучені до міжнародних відносин, формування політики та безпеки.
- Установи Європейського Союзу: Зокрема, структури, що займаються питаннями зовнішньої політики, безпеки та співпраці з Україною.
- Дипломатичні представництва: Посольства, консульства та міжнародні місії.
- Неурядові організації та аналітичні центри: Які працюють над питаннями України, безпеки та геополітики.
- Організації критичної інфраструктури: Через потенційне використання скомпрометованих систем як плацдарму для подальших атак.
Для мінімізації ризиків та захисту від подібних атак CERT-UA та експерти з кібербезпеки рекомендують наступні заходи:
- Негайне оновлення програмного забезпечення: Регулярно встановлюйте всі доступні оновлення для операційних систем, офісних пакетів (зокрема Microsoft Office) та іншого програмного забезпечення, щоб закрити відомі вразливості.
- Обмеження виконання макросів: Налаштуйте офісні програми таким чином, щоб макроси за замовчуванням були вимкнені або вимагали явного дозволу користувача.
- Підвищена обережність з вкладеннями: Ніколи не відкривайте підозрілі вкладення, особливо від невідомих відправників. Завжди перевіряйте легітимність джерела, перш ніж взаємодіяти з файлами.
- Використання антивірусного ПЗ: Встановіть та регулярно оновлюйте надійне антивірусне та антивірусне програмне забезпечення.
- Навчання персоналу: Проводьте регулярні тренінги з кібергігієни, розпізнавання фішингових атак та соціальної інженерії.
- Моніторинг мережі: Впроваджуйте системи моніторингу мережевої активності для виявлення аномалій та потенційних компрометацій.
- Звітність: У разі виявлення підозрілої активності або ознак компрометації негайно повідомляйте CERT-UA.