Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

APT28 користи PRISMEX малициозен софтвер во кампања насочена кон Украина и сојузниците на НАТО

Објавено: 09.04.2026

Руската заканувачка група позната како APT28 (позната и како Forest Blizzard и Pawn Storm) е поврзана со нова spear-phishing кампања насочена кон Украина и нејзините сојузници, со цел да се распореди претходно недокументиран пакет на малициозен софтвер со кодно име PRISMEX.

„PRISMEX комбинира напредна стеганографија, злоупотреба на Component Object Model (COM) и легитимни cloud услуги за командување и контрола,“ изјавија истражувачите од Trend Micro, Фејке Хакеборд и Хиројyки Какара, во технички извештај. Се верува дека кампањата е активна најмалку од септември 2025 година.

Активноста таргетирала различни сектори во Украина, вклучувајќи централни извршни институции, хидрометеоролошки служби, одбрана и итни служби, како и железничка логистика (Полска), поморски и транспортни сектори (Романија, Словенија, Турција), логистички партнери вклучени во иницијативи за муниција (Словачка, Чешка Република), како и воени и НАТО партнери.

Кампањата е значајна по брзата злоупотреба на новообјавени ранливости, како CVE-2026-21509 и CVE-2026-21513, за пробивање на целите. Подготовките на инфраструктурата биле забележани на 12 јануари 2026 година, точно две недели пред првата ранливост да биде јавно објавена. Кон крајот на февруари 2025 година, Akamai исто така откри дека APT28 можеби ја користела CVE-2026-21513 како zero-day ранливост, базирана на Microsoft Shortcut (LNK) експлоит поставен на VirusTotal на 30 јануари 2026, долго пред Microsoft да објави закрпа во рамки на Patch Tuesday на 10 февруари 2026.

Овој образец на експлоатација на zero-day ранливости укажува дека напаѓачот имал напредно знаење за пропустите пред тие да бидат откриени од Microsoft.

Интересно преклопување меѓу кампањите што ги користат двете ранливости е доменот „wellnesscaremed[.]com“. Оваа заедничка точка, заедно со тајмингот на експлоитите, укажува дека напаѓачите можеби ги комбинираат CVE-2026-21513 и CVE-2026-21509 во софистициран двостепен напад.

„Првата ранливост (CVE-2026-21509) го принудува системот на жртвата да преземе малициозен .LNK фајл, кој потоа ја користи втората ранливост (CVE-2026-21513) за да ги заобиколи безбедносните механизми и да изврши payload без предупредување за корисникот,“ објаснува Trend Micro.

Нападите завршуваат со инсталација на MiniDoor, крадец на Outlook е-пошта, или пакет на меѓусебно поврзани компоненти познати како PRISMEX, именувани поради употребата на стеганографија за сокривање payload-и во слики. Овие компоненти вклучуваат:

  • PrismexSheet: малициозен Excel dropper со VBA макроа што извлекува payload-и скриени во фајлот преку стеганографија, воспоставува постојаност преку COM hijacking и прикажува лажен документ за листи и цени на дронови по активирање на макроата.
  • PrismexDrop: dropper кој ја подготвува околината за понатамошна експлоатација и користи закажани задачи и COM DLL hijacking за постојаност.
  • PrismexLoader (познат и како PixyNetLoader): proxy DLL што извлекува .NET payload скриен во PNG слика („SplashScreen.png“) користејќи посебен алгоритам „Bit Plane Round Robin“ и го извршува целосно во меморија.
  • PrismexStager: COVENANT Grunt имплант што злоупотребува Filen.io cloud складирање за командување и контрола (C2).

Некои аспекти од кампањата претходно биле документирани од Zscaler ThreatLabz под името Operation Neusploit. Употребата на COVENANT (open-source C2 framework) од страна на APT28 првпат била истакната од CERT-UA во јуни 2025 година. Се смета дека PrismexStager е проширување на MiniDoor и NotDoor (познат и како GONEPOSTAL), backdoor за Microsoft Outlook што групата го користела кон крајот на 2025 година.

Во барем еден инцидент во октомври 2025 година, било утврдено дека COVENANT Grunt payload не само што собира информации, туку и извршува деструктивна команда (wiper) која ги брише сите фајлови во директориумот „%USERPROFILE%“. Оваа двојна функционалност сугерира дека кампањите може да се наменети и за шпионажа и за саботажа.

„Оваа операција покажува дека Pawn Storm останува една од најагресивните руски поврзани хакерски групи,“ изјави Trend Micro. „Моделот на таргетирање открива стратешка намера за компромитирање на синџирите на снабдување и оперативните капацитети на Украина и нејзините НАТО партнери.“

„Фокусот на синџирите на снабдување, временските служби и хуманитарните коридори што ја поддржуваат Украина претставува поместување кон оперативно нарушување што може да најави уште подеструктивни активности.“

Извори:

  • The Hacker News – APT28 Deploys PRISMEX Malware in Campaign Targeting Ukraine and NATO Allies The Hacker News