12 января 2026 года APT28 зарегистрировала WebDAV-домены - за две недели до публичного раскрытия CVE-2026-21509. Задумайтесь: эксплойт готов раньше, чем патч. К моменту выхода внеочередного фикса Microsoft 26 января рабочий эксплойт уже сидел в RTF-документах, а через 72 часа фишинговая рассылка накрыла девять стран. 29 писем с реально скомпрометированных госаккаунтов Румынии, Боливии и Украины - по целям в министерствах обороны, логистических хабах и дипломатических миссиях. По данным Trend Micro и Zscaler ThreatLabz, кампания развернула новый малварный набор PRISMEX: fileless-исполнение, стеганография в PNG, облачный C2 через Filen.io. Ниже - разбор кампании PRISMEX APT28 с конкретными detection-правилами, которые SOC может внедрить прямо сейчас.
Таймлайн кампании и целевые секторы Fancy Bear
APT28 (Fancy Bear, Pawn Storm, UAC-0001, Forest Blizzard) - государственная кибергруппировка, которую Trend Micro, Zscaler и CERT-UA атрибутируют с высокой уверенностью на основании пересечений инфраструктуры, инструментов и поведенческих паттернов. Кампания PRISMEX отслеживается с сентября 2025 года, но резкая эскалация произошла в январе 2026-го.Хронология по данным Zscaler ThreatLabz и Trend Micro:
- 12 января 2026 - регистрация доменов
freefoodaid[.]comиwellnesscaremed[.]comдля WebDAV-инфраструктуры. Подготовка за 14 дней до disclosure - значит, информация об уязвимости у группировки была заранее. - 26 января - Microsoft выпускает out-of-band патч для CVE-2026-21509.
- 28–30 января - массовая рассылка: 29 фишинговых писем по девяти странам за 72 часа.
- 30 января - LNK-эксплойт для CVE-2026-21513 загружен на VirusTotal.
- 10 февраля - Microsoft патчит CVE-2026-21513. Разрыв в 11 дней подтверждает zero-day-эксплуатацию в дикой среде.
Фишинговые письма шли с реально скомпрометированных государственных почтовых ящиков - не с look-alike доменов. Четыре сценария приманок: «контрабанда оружия из Сирии» (основная доля), приглашения на военные программы, запросы «от парламента» по позиции ЕС/НАТО, метеорологические предупреждения о наводнении через инфраструктуру национальных метеослужб. Лингвистическая адаптация: письма на английском, румынском, словацком и украинском.
Отдельная деталь, которая усложняет жизнь аналитикам: APT28 фишинг целевые атаки в этой кампании включал серверную фильтрацию. По данным Zscaler, малварная DLL отдавалась только при запросах из целевого географического региона с корректным User-Agent. Если вы пытаетесь стянуть образец из нецелевой страны - получите чистый ответ.
Двухэтапная эксплуатация: CVE-2026-21509 и CVE-2026-21513
Все документы в Fancy Bear атаке 2026 года эксплуатируют CVE-2026-21509 - уязвимость обхода механизмов безопасности в Microsoft Office. По NVD: CVSS 7.8 (HIGH), векторCVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H, CWE-807; включена в каталог CISA KEV 26.01.2026 как активно эксплуатируемая (Reliance on Untrusted Inputs in a Security Decision).Разберём вектор: локальная атака (
AV:L), низкая сложность (AC:L), привилегии не нужны (PR:N), но нужно действие пользователя - открыть документ (UI:R). При успешной эксплуатации - полная компрометация конфиденциальности, целостности и доступности (C:H/I:H/A:H). Затронуты Microsoft 365 Apps и Microsoft Office нескольких версий.Суть уязвимости (анализ Trend Micro): Microsoft Office не блокирует инстанциирование COM-объекта
Shell.Explorer.2 (CLSID: EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B) через OLE-механизм в RTF-документах. Встроенный ActiveX-объект автоматически инициирует исходящее соединение к WebDAV-серверу атакующего и загружает LNK-файл. Без макросов. Без дополнительного клика после открытия файла. С обходом Protected View и стандартных OLE-запросов безопасности. По документам - Protected View должен спасать. На практике - не спасает.Загруженный LNK-файл предположительно эксплуатирует CVE-2026-21513 - уязвимость в MSHTML Framework, включённую в каталог CISA KEV 10.02.2026 (due date по BOD 22-01 - 03.03.2026). По NVD: CVSS 8.8 (HIGH), CWE-693 (Protection Mechanism Failure). Вектор:
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - сетевая атака, UI:R означает действие пользователя, но в контексте цепочки оно уже произошло при открытии RTF. Trend Micro описывает механизм: LNK встраивает HTML-payload с вложенными iframe и множественными DOM-контекстами для манипуляции trust boundaries, в результате вызывается ShellExecuteExW за пределами браузерного sandbox.Связка формирует автоматическую цепочку: открыл RTF → система подключается к WebDAV → загружается LNK → обходятся защиты MSHTML → исполнение payload. Trend Micro оговаривается, что связь между CVE основана на общей C2-инфраструктуре, выявленной Akamai; независимое подтверждение chaining от Trend Micro не получено. Домен
wellnesscaremed[.]com фигурировал в кампаниях обеих CVE.Компоненты PRISMEX: стеганография, COM hijacking и Covenant Grunt
Zscaler ThreatLabz (Operation Neusploit) выделяет два варианта цепочки после эксплуатации CVE-2026-21509. Обе цепочки работают в Windows 10/11 с Microsoft Office и требуют открытия вредоносного RTF пользователем. На legacy-системах без EDR - детект затруднён на каждом этапе, и это не преувеличение.Вариант 1 - MiniDoor. Дроппер: 64-битная C++ DLL, экспортируемая функция
UIClassRegister. Создаёт мьютекс adjgfenkbe. Дальше - двухступенчатый XOR: однобайтовый ключ 0x3a → 58-байтовый rolling-ключ → VBA-проект расшифровывается из секции .rdata. Результат записывается в %appdata%\Microsoft\Outlook\VbaProject.OTM. Параллельно дроппер лезет в реестр и понижает макро-безопасность Outlook до автоматического исполнения. Подробнее о поведении MiniDoor - в разделе ниже.Вариант 2 - PixyNetLoader → PRISMEX-цепочка. Дроппер создаёт мьютекс
asagdugughi41, проверяет наличие EhStorShell.dll по пути %programdata%\USOPublic\Data\User\. Расшифровывает payload-ы rolling XOR-ключом (0x47 байт) и раскладывает три файла: загрузчик DLL, XML-конфигурацию для scheduled task и PNG со скрытым шеллкодом.Персистенс - через COM hijacking: подмена легитимной
EhStorShell.dll (Enhanced Storage Shell Extension, живёт в C:\Windows\System32\) в реестре гарантирует загрузку малварной DLL при каждом старте explorer.exe. Плюс создаётся задача OneDriveHealth (schtasks.exe /Create /tn "OneDriveHealth" /XML "%temp%\Diagnostics\office.xml"), которая убивает explorer.exe, перезапускает его (триггеря загрузку подменённого COM-объекта) и самоудаляется. Изящно, если задуматься.PrismexLoader (proxy DLL) проводит антианализ: работает только внутри
explorer.exe, выжидает 3 секунды с проверкой реального времени (детект ускорения в песочнице). Извлекает из PNG .NET-payload методом «Bit Plane Round Robin» - данные распределены по всему файлу, а не спрятаны в конце. Стандартные стеганоанализаторы это не ловят. CLR hosting загружает финальный .NET-payload целиком в память - на диск он не попадает, хотя промежуточные компоненты (loader DLL, PNG, XML) в файловой системе присутствуют.Финальная стадия - PrismexStager, модифицированный Covenant Grunt. Covenant - open-source .NET C2-фреймворк, Grunt - его имплант-агент. APT28 используют его с тяжёлой обфускацией (рандомизированные имена функций). Пересечение с Covenant фиксировалось CERT-UA ещё в середине 2025 года. Облачная инфраструктура C2 APT строится через Filen.io: имплант генерирует RSA-2048 пару, публичный ключ уходит на Filen.io, оператор возвращает AES-256 сессионный ключ, после рукопожатия - полный Grunt через рефлективный
Assembly.Load(), fileless. Весь трафик - HTTPS к легитимному облачному хранилищу с end-to-end шифрованием. В предыдущих кампаниях Pawn Storm облачный C2 строился через Koofr и Icedrive - паттерн устойчивый, меняются только хранилища.По данным Trend Micro, в октябре 2025 года Covenant Grunt в одном из инцидентов выполнил деструктивную wiper-команду, уничтожив все файлы в
%USERPROFILE%. Шпионаж и саботаж одним инструментом - характерная черта этой кампании.Бэкдор Outlook APT28: MiniDoor и email-эксфильтрация
MiniDoor - упрощённая версия NotDoor (GONEPOSTAL), бэкдор APT28, встроенный прямо в Microsoft Outlook. По данным Zscaler, MiniDoor собирает email, но не поддерживает command-based управление через почту (в отличие от полноценного NotDoor). Фрагменты VBA-кода и IOC опубликованы в блог-посте Zscaler ThreatLabz.Два триггера: событие
MAPILogonComplete (после входа пользователя в Outlook - 6-секундная задержка, затем перебор четырёх папок: Inbox, Drafts, Junk, RssFeeds) и Application_NewMailEx (мгновенная реакция на входящее письмо). Каждое письмо сохраняется как %TEMP%\temp_email.msg, создаётся новое с вложением, отправляется на два захардкоженных адреса. DeleteAfterSubmit = true - в «Отправленных» следа не останется. AlreadyForwarded = Yes - обработанные письма помечаются, чтобы не пересылать повторно.Для дипломатических и военных организаций, где стратегические коммуникации идут через email, это идеальный канал. Не нужен reverse shell, не нужен C2 - обычный SMTP обеспечивает lateral movement через Outlook и эксфильтрацию. Тихо, просто и эффективно.
Detection playbook: правила корреляции для SOC
Применимость: корпоративная Windows-инфраструктура с SIEM и EDR, modern-стек (Windows 10/11, Microsoft 365). Для legacy без EDR - применимы только сетевые и файловые индикаторы. Все IOC APT28 2026 года из этого раздела основаны на данных Zscaler ThreatLabz и Trend Micro.Хостовые артефакты и правила корреляции
COM hijacking. Мониторинг записи вHKCU\Software\Classes\CLSID\{...}\InProcServer32 с указанием нестандартных путей к DLL. Для PRISMEX - появление EhStorShell.dll вне %SystemRoot%\System32\. Sigma-правило:APT28 MITRE ATT&CK техники: маппинг кампании PRISMEX
| Этап | Техника | ID | Реализация |
|---|---|---|---|
| Initial Access | Spearphishing Attachment | T1566.001 | RTF с CVE-2026-21509, компрометированные госаккаунты |
| Execution | Malicious File | T1204.002 | Открытие RTF триггерит OLE-эксплойт |
| Execution | Exploitation for Client Execution | T1203 | CVE-2026-21509 + CVE-2026-21513 |
| Persistence | Component Object Model Hijacking | T1546.015 | COM hijacking EhStorShell.dll через подмену InProcServer32 |
| Persistence | Scheduled Task | T1053.005 | Задача OneDriveHealth, перезапуск explorer.exe |
| Defense Evasion | Process Injection | T1055 | Инъекция в explorer.exe, fileless CLR hosting |
| Command and Control | Web Protocols | T1071.001 | HTTPS к Filen.io, легитимный облачный трафик |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | MiniDoor - SMTP; PrismexStager - Filen.io |
Разбор APT кампании PRISMEX показывает устойчивый тренд: APT-группировки больше не привязаны к одной цепочке заражения. Два варианта дроппера, двойное назначение (шпионаж + деструкция), облачный C2 через легитимные сервисы - модульная архитектура, где компоненты взаимозаменяемы. Trend Micro оценивает PRISMEX как стратегическое расширение набора NotDoor, а фокус на логистических цепочках украинской обороны - как переход от чистого шпионажа к тактическому нарушению операций.
Для SOC-команд этот анализ - конкретный набор действий. Но я бы обратил внимание на другое: паттерны PRISMEX не уникальны для APT28. Облачный C2 через легитимные хранилища, стеганография в PNG, COM hijacking - техники, которые после публикации TI-отчётов Trend Micro и Zscaler в течение месяцев окажутся в арсенале других группировок. Я разбирал образцы трёх разных кластеров за последний год, и infrastructure overlap нередко указывал на заимствование из публичных TI-отчётов по APT28 или APT29. Публикация отчёта - это и помощь defenders, и открытый учебник для всех.
Отсюда неудобный вывод: detection-правила из этой статьи нужно внедрять не «когда APT28 станет актуальной угрозой для нашей организации», а сейчас. COM hijacking с подменой
InProcServer32 в HKCU должен быть в baseline любого SOC - не ради конкретного EhStorShell.dll, а как класс. Аномальные обращения к Filen.io, Koofr, Icedrive - это не про Fancy Bear, это про целый класс облачных C2-каналов, которые DLP не видит. А файл VbaProject.OTM, который никто не создавал руками, - не false positive. Кто строит SOC вокруг репутационных списков и сигнатурного антивируса, тот пропустит и PRISMEX, и всё, что придёт после.