Новая информация указывает на то, что недавно исправленная уязвимость в MSHTML могла быть использована группой APT28. Этот 0-day, обозначенный как CVE-2026-21513, позволяет обходить функции безопасности через сеть. Microsoft устранила проблему в февральских обновлениях, подтвердив факты эксплуатации до выпуска патча.
Специалисты по кибербезопасности из Akamai обнаружили вредоносный артефакт, связанный с инфраструктурой APT28. Образец был загружен в VirusTotal в конце января. Ранее CERT-UA уже связывала эту активность с другой атакой на уязвимость в Microsoft Office.
В гипотетическом сценарии атаки злоумышленники используют фишинг, рассылая письма со злонамеренными HTML или LNK-файлами. Открытие такого файла манипулирует обработкой данных оболочкой Windows, что позволяет обойти защиту и выполнить код. Это классический эксплойт для утечки данных или установки ransomware.
Уязвимость кроется в логике библиотеки "ieframe.dll", отвечающей за навигацию по гиперссылкам. Недостаточная проверка целевого URL позволяет передать управляемые злоумышленником данные в функцию ShellExecuteExW. Это запускает выполнение ресурсов вне безопасного контекста браузера.
Полезная нагрузка включает специально созданный ярлык Windows, который содержит HTML-файл. Такой подход позволяет инициировать выполнение кода, минуя стандартные механизмы защиты. Подобные методы представляют серьезную угрозу для корпоративной безопасности.
Атаки с использованием 0-day уязвимостей остаются сложной проблемой для обнаружения и предотвращения. Группы, подобные APT28, постоянно совершенствуют свои инструменты. Это подчеркивает необходимость своевременного обновления систем и повышения осведомленности пользователей об угрозах.
В контексте цифровых активов также важно учитывать безопасность блокчейна. Хотя данная атака не нацелена напрямую на крипто-инфраструктуру, методы обхода безопасности могут быть адаптированы для атак на кошельки или биржи. Комплексный подход к защите данных критически важен.
Эксперты призывают организации строго применять февральские обновления безопасности от Microsoft. Постоянный мониторинг сетевой активности и анализ подозрительных файлов являются ключевыми элементами защиты от подобных целевых атак.
