Microsoft не успел, а хакеры успели. 0Day в Office помог проникнуть в инфраструктуру Европы
NewsMakerЗачем киберпреступникам графики дождей и ветров.
Группировка Pawn Storm запустила новую кампанию с вредоносной связкой PRISMEX и нацелилась на структуры, от которых зависят поставки помощи, транспорт и критическая инфраструктура в Украине и странах Центральной и Восточной Европы. По данным Trend Micro, под удар попали оборонные цепочки, логистика, метеослужбы и государственные организации, что указывает на интерес не только к разведке, но и к возможному срыву работы ключевых систем.
Активность группы продолжается как минимум с сентября 2025 года и усилилась в январе 2026-го. Помимо Украины, цели зафиксированы в Чехии, Польше, Румынии, Словакии, Словении и Турции, прежде всего в секторах военной логистики, транспорта и госуправления.
PRISMEX представляет собой цепочку компонентов: дроппер, загрузчик и управляющий модуль. Вредоносный код прячут внутри изображений и запускают в памяти без записи на диск, что осложняет обнаружение. Закрепление происходит через захват объектов компонентной модели Windows, а управление трафиком маскируется под легитимные облачные сервисы. Финальный этап опирается на инструмент Covenant.
В атаке использовали уязвимость CVE-2026-21509 в Microsoft Office. Специально подготовленный RTF-файл заставляет систему подключиться к удалённому серверу и загрузить вредоносный .lnk-файл без дополнительных действий пользователя. Возможна связка с CVE-2026-21513 в MSHTML: образец для неё использовал ту же инфраструктуру, хотя Trend Micro не подтвердила это напрямую.
Группировка Pawn Storm запустила новую кампанию с вредоносной связкой PRISMEX и нацелилась на структуры, от которых зависят поставки помощи, транспорт и критическая инфраструктура в Украине и странах Центральной и Восточной Европы. По данным Trend Micro, под удар попали оборонные цепочки, логистика, метеослужбы и государственные организации, что указывает на интерес не только к разведке, но и к возможному срыву работы ключевых систем.
Активность группы продолжается как минимум с сентября 2025 года и усилилась в январе 2026-го. Помимо Украины, цели зафиксированы в Чехии, Польше, Румынии, Словакии, Словении и Турции, прежде всего в секторах военной логистики, транспорта и госуправления.
PRISMEX представляет собой цепочку компонентов: дроппер, загрузчик и управляющий модуль. Вредоносный код прячут внутри изображений и запускают в памяти без записи на диск, что осложняет обнаружение. Закрепление происходит через захват объектов компонентной модели Windows, а управление трафиком маскируется под легитимные облачные сервисы. Финальный этап опирается на инструмент Covenant.
В атаке использовали уязвимость CVE-2026-21509 в Microsoft Office. Специально подготовленный RTF-файл заставляет систему подключиться к удалённому серверу и загрузить вредоносный .lnk-файл без дополнительных действий пользователя. Возможна связка с CVE-2026-21513 в MSHTML: образец для неё использовал ту же инфраструктуру, хотя Trend Micro не подтвердила это напрямую.