Группировка BoTeam атакует российские компании через свежую уязвимость в Microsoft Office
Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировали первую фишинговую атаку с использованием уязвимости CVE-2026-21509, направленную на российские организации. Инцидент произошел в феврале 2026 года.
Злоумышленники рассылали письма, содержащие файлы формата RTF, замаскированные под служебную переписку. Внутри файлов находился OLE-объект с компонентом для отображения веб-страниц. При открытии вложения в Microsoft Office уязвимость (оценка 7,8 балла по шкале CVSS) позволяла обойти встроенные механизмы защиты и давала атакующим возможность похитить данные или запустить программу-шифровальщик.
Анализ инфраструктуры злоумышленников позволил связать атаку с группировкой BoTeam (также известной как Black Owl, Lifting Zmiy и Hoody Hyena). Как сообщили эксперты, вредоносный документ обращался к домену rostransnadzor.digital. В SOA-записи домена был обнаружен контактный email, который ранее использовался в атаках этой группировки. На связь с BoTeam также указывает повторение характерных артефактов: одинаковые названия файлов («АКТ проверки транспортного средства») и использование схожих доменов (rostransnnadzor.ru).
В качестве временной меры защиты до установки обновлений Microsoft специалисты рекомендуют заблокировать активацию уязвимого OLE-компонента Shell.Explorer.1.
Читайте также
