Группа APT28, известная как Forest Blizzard, осуществила новую кампанию, направленную на Украину и её союзников по НАТО, используя ранее неизвестный набор вредоносного ПО под названием PRISMEX. Эта угроза была выявлена экспертами из Trend Micro, которые подчеркивают её сложные методы, включающие стеганографию и использование облачных сервисов.
Предпосылки атаки
Кампания активна с сентября 2025 года и затрагивает ключевые сектора Украины, включая органы власти, оборону и транспорт. Атаки также направлены на партнёров в Польше, Румынии и Словакии, что увеличивает уровень напряжённости в регионе. Примечательно, что APT28 использует уязвимости CVE-2026-21509 и CVE-2026-21513 для достижения своих целей, что свидетельствует о быстром реагировании злоумышленников на новые угрозы.
Инфраструктура для атак была подготовлена 12 января 2026 года, всего за две недели до того, как уязвимости были обнародованы. Как выяснили эксперты, группа APT28 могла заранее знать о этих уязвимостях и применять их в своих атаках, что ещё больше усложняет задачу по выявлению угроз и разработке защитных мер.
Как функционирует PRISMEX
PRISMEX состоит из нескольких компонентов, использующих различные методы для проникновения в системы. Например, PrismexSheet — это вредоносный Excel-файл, который применяет стеганографию для скрытия своих функций. Он устанавливает контроль над системами, используя механизмы вмешательства в COM.
Другие части PRISMEX, такие как PrismexLoader, работают с изображениями, чтобы извлекать вредоносные коды из графических файлов. Это создаёт цепочку атак, которая затрудняет обнаружение на уровне традиционных антивирусных систем. В конце концов, минимальная угроза может перерасти в более сложные кибератаки.
Практические выводы для бизнеса и власти
Эта кампания APT28 подчеркивает необходимость усиленной киберзащиты для предприятий и правительств в Украине и странах НАТО. Атакуемые секторы должны пересмотреть свои стратегии безопасности и активно следить за возможными уязвимостями, особенно в свете текущего напряжения.
Организациям рекомендуется обновить свои системы безопасности и обучение пользователей, чтобы противодействовать подобным угрозам. Знание о том, что злоумышленники могут использовать нулевые дни, должно стать сигналом к действию для IT-команд.
Следующий шаг для отечественных кибербезопасности — это создание координированных усилий для защиты критической инфраструктуры и активное сотрудничество с международными партнерами для обмена информацией о возможных угрозах.
