Выявлена фишинговая кампания, нацеленная на российские организации, в которой используется уязвимость CVE-2026-21509.
В рамках рассылки злоумышленники направляют получателям вредоносные RTF-документы, замаскированные под материалы, связанные с досудебным урегулированием задолженности. Письма распространяются с темой «Урегулирование задолженности по договору займа» и оформлены от имени реально существующей микрокредитной организации, что должно повысить доверие адресатов и увеличить вероятность открытия вложения.
Пример рассылки
Для рассылки используется домен, мимикрирующий под официальный домен МКК. Письма и вложения оформлены под каждого адресата индивидуально.
Вложение
Каждый направленный злоумышленниками вредоносный документ специально подготовлен для получателя: указаны именно его контактные данные и ФИО.
Пример вложения
Документ содержит связь (relationship) с внешним графическим ресурсом, размещённым на подконтрольном сервере. При открытии Microsoft Word автоматически выполняет запрос к этому ресурсу. Таким образом злоумышленники получают возможность отследить факт открытия документа адресатом, а также определить время просмотра и, в отдельных случаях, дополнительную информацию о системе, с которой был выполнен запрос.
Отличительной чертой является то, что структура документа содержит множество вложенных директорий с текстовыми данными, предназначенными для дополнительной обфускации.
Пример содержимого архива
Большинством утилит, они выявляются не как документ OpenDocument, а как архив Zip.
Это позволяет обойти песочницы при автоматизированном исследовании. Например, Any.Run открывает его как архив.
Пример работы Any.Run
В документе находятся 2 OLE-объекта Object 1 и Object 2, оформленные как ссылки на вложенные PDF документы («Документы по договору займа…» и «Согласие на получение…»).
Пример ссылок
При двойном щелчке по ссылке происходит активация OLE-объекта, внедренного в документ. OLE-объект с CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B (Shell.Explorer.1) эксплуатирует уязвимость CVE-2026-21509, которая используется для обхода встроенных защит Microsoft Office.
Ole объект
В потоке CONTENTS находится ссылка на LNK файл в формате UNC.
Пример ссылки в Ole
В результате открытия объекта будет загружен и выполнен файл LNK по UNC ссылке. Чтобы дополнительно усыпить бдительность пользователя, ссылка оканчивается на lnk с большим количеcтвом пробелов после .pdf. Как используются LNK злоумышленниками мы разбирали ранее в статье на Хабре.
Ссылка для каждого RTF уникальная и одноразовая.
В настоящее время все выявленные ссылки недоступны, поэтому проанализировать вредоносную нагрузку не представляется возможным.
Аттрибуция
Домен yandex-disk.com, c которого загружаются LNK файлы, зарегистрирован 26 мая 2026 года. По данным Virustotal, он также используется для вредоносных файлов RTF с названием «Диагностическое_заключение_1129-05-26.rtf».
Virustotal
По данным Virustotal, этот документ по структуре совпадает с представленным на исследование и выявляется очень небольшим количеством антивирусных средств как вредоносный.
Virustotal
Документы, представленные на исследование также не выявляются антивирусом Лаборатории Касперского, имеющимся в распоряжении. На Virustotal они не были найдены, но дополнительно не выгружались из-за наличия персональных данных.
В результате исследования домена yandex-disk.com установлено, что в SOA записи содержится почта leonorisbruscatti@gmail.com.
SOA
На данную почту ранее регистрировались домены, которые связаны с группировкой BoTeam (aka Hoody Hyena). О похожей атаке рассказывали Positive Technologies в своем канале Escalator.
Индикаторы
-
yandex-disk[.]com;
-
5.188.60[.]161.
Меры защиты
Для снижения риска эксплуатации уязвимости рекомендуется в кратчайшие сроки обновить Microsoft Office до версии, содержащей исправление. Если установка обновлений в настоящее время невозможна, в качестве временной меры следует заблокировать использование OLE-компонента Shell.Explorer.1 (CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B), задействованного в эксплуатации данной уязвимости.
Выводы
В атаке применялась хорошо подготовленная фишинговая рассылки. И письма и вложения создавались с учётом конкретного получателя: они включали персональные данные, реквизиты организаций и дополнительную информацию, чтобы убедить в легитимности сообщения.
На момент исследования документы не выявлялись большинством антивирусов как вредоносные и успешно обходили автоматизированные средства анализа, в том числе песочницы. При этом содержание письма и вложения использовали качественные приёмы социальной инженерии, чтобы побудить пользователя открыть документы и кликнуть на ссылки внутри.
Это подтверждает тенденцию последних лет, когда вместо массовых рассылок одинаковых вложений, злоумышленники делают ставку на точечные атаки против конкретных пользователей организаций. Хотя для срабатывания вредоносной цепочки требуется участие пользователя, можно оценить вероятность её срабатывания как очень высокую.
08.06.2026
