Эксперты центра реагирования и цифровой криминалистики Angara MTDR зафиксировали новую атаку хакерской группировки BoTeam (Hoody Hyena) на российские компании. Об этом CNews сообщили представители Angara Security.
Злоумышленники рассылают фишинговые письма, ложно требуя погасить несуществующую задолженность перед микрокредитной организацией. Каждое сообщение персонализировано: хакеры используют реальные ФИО руководителей, актуальные реквизиты компаний и другие данные, повышающие доверие к сообщению, а доменные имена отправителей умело мимикрируют под легитимные ресурсы. К письму прикреплен файл формата .rtf. При его открытии задействуется сложная цепочка эксплуатации уязвимости CVE-2026-21509 через механизм OLE (Object Linking and Embedding).
Как пояснил киберкриминалист Angara MTDR, после активации встроенного OLE-объекта происходит загрузка LNK-файла по одноразовой и уникальной UNC-ссылке, что позволяет злоумышленникам скрытно доставить полезную нагрузку на компьютер жертвы. Особую тревогу специалистов вызывает тот факт, что вредоносные вложения на данный момент практически не детектируются антивирусными решениями, а сам механизм атаки спроектирован так, чтобы не вызывать подозрений у изолированных сред анализа — фишинговые письма успешно обходят песочницы.
Группировка BoTeam, известная специалистам с начала 2024 г., в этом году существенно изменила тактику, перейдя от хактивистских акций к целевым атакам на ИТ-сектор, промышленность и нефтегазовую отрасль. В арсенале хакеров появились инструменты кибершпионажа и программы-вымогатели. В связи с критической опасностью эксперты Angara MTDR рекомендуют организациям немедленно установить обновления Microsoft Office, закрывающие уязвимость CVE-2026-21509. Если патч временно недоступен, необходимо заблокировать OLE-компонент Shell.Explorer.1 (CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B), используемый в цепочке атаки. Также настоятельно рекомендуется провести инструктаж персонала о недопустимости открытия подозрительных вложений, особенно касающихся неожиданных финансовых требований.
Поделиться
