Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировали первую фишинговую атаку с использованием уязвимости CVE-2026-21509, направленную на российские организации.
В феврале этого года злоумышленники направили разослали российским организациям фишинговые письма, содержащие RTF-файлы. Письма были оформлены под служебную переписку. Внутри документов находился OLE-объект со встроенным компонентом для отображения веб-страниц и работы с браузерными движками внутри программ. Пользователи открывали вложение через Microsoft Office, а уязвимость CVE-2026-21509 (оценка 7,8 по CVSS 3.1) позволяла обходить встроенную защиту софта при обработке OLE-компонентов.
Эксперты Positive Technologies отнесли эту уязвимость к трендовой еще в январе, при этом 25 февраля была зафиксирована первая фишинговая атака на российские организации с ее использованием. Разбор атаки позволил связать ее с деятельностью группировки BoTeam. Группировка BO Team, действующая также под псевдонимами Black Owl, Lifting Zmiy и Hoody Hyena, впервые громко заявила о своем существовании в начале 2024 года. Деятельность злоумышленников сосредоточена на разрушении ИТ-инфраструктуры жертв. В ряде случаев они прибегают к шифрованию данных с целью последующего вымогательства.
«При анализе домена rostransnadzor.digital, куда обращался документ после запуска, мы выявили, что в его SOA-записи указан контактный e-mail «gjegoshcappaniesh@gmail.com» — он же ранее фигурировал у доменов, использовавшихся в атаках группировки BoTeam. Дополнительно на возможную связь с группировкой указывает повторение характерных артефактов: одинаковое название вредоносных файлов «АКТ проверки транспортного средства», а также использование схожего доменного имени rostransnnadzor.ru. Это позволяет нам предположить, что за кампанией может стоять хакерская группировка BoTeam,» — рассказал Денис Кувшинов, руководитель департамента киберразведки Positive Technologies.
