Российская хакерская группа APT28 использовала критическую уязвимость CVE-2026-21513 в Windows для атак до выхода официального патча. Microsoft закрыла эту брешь только в феврале 2026 года в рамках Patch Tuesday.
Уязвимость получила оценку 8.8 по шкале CVSS и затрагивает MSHTML Framework — компонент, отвечающий за обработку веб-контента в Windows. По данным Akamai, которая обнаружила связь с APT28, злоумышленники эксплуатировали 0-day как минимум с 30 января 2026 года.
Как работает атака
Хакеры рассылают жертвам вредоносные HTML-файлы или LNK-ярлыки через email или ссылки. При открытии такого файла запускается цепочка эксплойтов, которая обходит защитные механизмы Windows и позволяет выполнить произвольный код.
«Уязвимость кроется в логике ieframe.dll при обработке переходов по гиперссылкам. Недостаточная проверка URL позволяет злоумышленнику достичь функции ShellExecuteExW и запустить код вне песочницы браузера», — объясняет исследователь Akamai Маор Дахан.
Эксплойт обходит Mark-of-the-Web (MotW) и Enhanced Security Configuration Internet Explorer (IE ESC) — ключевые защитные механизмы Windows. Атакующие используют вложенные iframe и множественные DOM-контексты для манипуляции границами доверия.
След APT28
Специалисты Akamai связали атаки с доменом wellnesscaremed[.]com, который давно используется APT28 для многоэтапных атак. Украинский CERT-UA также зафиксировал активность этой группы в начале февраля при эксплуатации другой уязвимости Microsoft Office (CVE-2026-21509).
Microsoft подтвердила факт эксплуатации 0-day «в реальных атаках», но не раскрыла детали инцидентов. О проблеме сообщили Microsoft Threat Intelligence Center, Google Threat Intelligence Group и другие команды безопасности.
Практические выводы: Администраторам нужно срочно установить февральские обновления Windows, если это не сделано. Эксплойт работает через любой компонент, использующий MSHTML, поэтому ожидайте новые векторы атак помимо LNK-файлов.
APT28 продолжает наращивать арсенал 0-day эксплойтов для атак на критическую инфраструктуру и государственные органы.
