Эксперты центра реагирования и цифровой криминалистики Angara MTDR зафиксировали новую атаку хакерской группировки BoTeam (Hoody Hyena) на российские компании.
Злоумышленники рассылают фишинговые письма, ложно требуя погасить несуществующую задолженность перед микрокредитной организацией. Каждое сообщение персонализировано: хакеры используют реальные ФИО руководителей, актуальные реквизиты компаний и другие данные, повышающие доверие к сообщению, а доменные имена отправителей умело мимикрируют под легитимные ресурсы. К письму прикреплен файл формата .rtf. При его открытии задействуется сложная цепочка эксплуатации уязвимости CVE-2026-21509 через механизм OLE (Object Linking and Embedding).
Как пояснил киберкриминалист Angara MTDR, после активации встроенного OLE-объекта происходит загрузка LNK-файла по одноразовой и уникальной UNC-ссылке, что позволяет злоумышленникам скрытно доставить полезную нагрузку на компьютер жертвы. Особую тревогу специалистов вызывает тот факт, что вредоносные вложения на данный момент практически не детектируются антивирусными решениями, а сам механизм атаки спроектирован так, чтобы не вызывать подозрений у изолированных сред анализа — фишинговые письма успешно обходят песочницы.
Группировка BoTeam, известная специалистам с начала 2024 года, в этом году существенно изменила тактику, перейдя от хактивистских акций к целевым атакам на ИТ-сектор, промышленность и нефтегазовую отрасль. В арсенале хакеров появились инструменты кибершпионажа и программы-вымогатели. В связи с критической опасностью эксперты Angara MTDR рекомендуют организациям немедленно установить обновления Microsoft Office, закрывающие уязвимость CVE-2026-21509. Если патч временно недоступен, необходимо заблокировать OLE-компонент Shell.Explorer.1 (CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B), используемый в цепочке атаки. Также настоятельно рекомендуется провести инструктаж персонала о недопустимости открытия подозрительных вложений, особенно касающихся неожиданных финансовых требований.
Подробности исследования читайте в статье на нашем сайте.08.06.2026
