Российско-Азиатский фишинг: хакеры начали активно использовать уязвимость MS Office на российские и южнокорейские компании
Злоумышленники начали масштабную фишинговую кампанию нацеленную на российские и южнокорейские организации из ИТ сферы, транспорта, медицины и тп. Хакеры используют известную уязвимость Microsoft Office, которая позволяет получить полный контроль над взломанной системой. Эксперты уточняют, что многие госкомпании по-прежнему используют MS Office, в том числе пиратскую версию софта.
С начала марта 2026 года в РФ была обнаружена масштабная фишинговая кампания, жертвами которой помимо российских организаций становятся компании из стран Азиатско-Тихоокеанского региона (Южной Кореи), сообщили SecPost специалисты центра мониторинга и реагирования на кибератаки GSOC компании «Газинформсервис». По их данным атака затронула не менее 8 организаций из сфер технологий (ИТ и ИКТ), логистики (транспортные компании и морские грузоперевозки), а также медицины, включая сектор ядерной медицины и производство медицинских изделий. Однако, признают в «Газинформсервис», жертв может оказаться гораздо больше: «настоящий масштаб атаки можно будет оценить только через время».
По словам специалистов из-за этой атаки компании рискуют потерять контроль над корпоративными системами. «Атака начинается с рассылки электронных писем с польского домена, внутри письма находится Excel-файл, открытие которого запускает процесс загрузки на компьютер трояна удаленного доступа Remcos RAT. Это вредоносное ПО позволяет хакерам действовать от имени легального пользователя: устанавливать программы, похищать или уничтожать корпоративные данные», — объяснил представитель компании. По его словам, для обхода систем защиты киберпреступники используют поддельные домены, имитирующие адреса азиатских банков и других финансовых структур: «формально такие домены могут числиться «чистыми» в базах данных, однако письма, приходящие с них, могут нести угрозу».
Вредоносный файл представлял собой эксплоит на уязвимость CVE-2017-11882 (BDU:2018-00096), известной с 2017 года, содержащуюся в устаревших версиях Microsoft Office.
В четвертом квартале прошлого года самыми распространенными оказались эксплойты к тем же уязвимостям, которые использовались в атаках чаще всего на протяжении 2025 года, в числе которых и уязвимость CVE-2017-11882 говорит ведущий эксперт Kaspersky GReAT Борис Ларин. «Авторы вредоносного ПО предпочитают работать с наиболее простыми в эксплуатации ошибками, именно поэтому из всех уязвимостей Office часто эксплуатируются CVE-2017-11882 и CVE-2018-0802, которые связаны с редактором формул», — объяснил он. Ларин добавляет, что при эксплуатации этих уязвимостей, вероятность успешной атаки очень высока и они срабатывают в любой (не обновленной) версии Word, выпущенной за последние десятилетия.
Собеседник SecPost на ИТ-рынке сообщил, что по итогам 2025 года продажи MS Office в потребительском сегменте составили 40% рынка, а в коммерческом — 50%.
Скачивание пиратских версий пакета офиса Microsoft не уменьшается, а в органах власти не все понимают, почему с этим надо бороться, рассказал SecPost директор ассоциации АПКИТ, председатель Совета ТПП РФ по развитию цифровой экономики Николай Комлев.
В конце января 2026 года депутаты госдумы от партии «Новые люди» предложили отменить штрафы за использование пиратского ПО, сообщали «РИА Новости». В настоящее время штрафы за использование зарубежного пиратского ПО для физических лиц составляют от 1,5 тыс до 2 тыс рублей; для должностных лиц и индивидуальных предпринимателей — от 10 тыс до 20 тыс рублей; для организаций — от 30 тыс до 40 тыс рублей.
По словам Комлева, большие российские организации, судя по госзакупкам, закупают ПО от «МойОфис» или «Р7-Офис» (аналоги MS Office), однако не известно, используют ли они их на самом деле. «Есть случаи, когда при закупленном аналогичным российском ПО компания устанавливает на свои устройства пиратскую версию продуктов Microsoft или продолжают использовать, поскольку это более привычный софт. Зачастую, это предыдущие версии Office», — говорит он, добавляя, что преимуществом российского ПО является быстрое реагирование на инциденты.
Сейчас для выполнения вредоносного кода используется старая уязвимость в компоненте Equation Editor (EQNEDT32.EXE) пакета Microsoft Office, атакующие нацелены на организации, у которых либо отсутствуют средства защиты информации, либо присутствуют в минимальном объеме, говорит руководитель BI.ZONE Threat Intelligence Олег Скулкин, добавляя, что данная уязвимость распространяется на пакет MS Office 2007-2016 года.
По словам ведущего эксперта Kaspersky GReAT все наиболее часто используемые уязвимости находятся не в самом Office, а в каком-то из связанных с ним компонентов. «Причина в том, что поверхность атаки на Office огромна, множество сложных форматов файлов, интеграция с Windows, разнообразные инструменты для взаимодействия между компонентами — все это потенциальные слабые места продукта», — поясняет он, добавляя, что большинство уязвимостей возникло при начале разработки Office.
Читайте также
