Уязвимост CVE-2026-21509 в Microsoft Office
Свързаният с Русия и спонсориран от държавата хакер APT28, проследяван също като UAC-0001, е приписан на нова вълна от кибератаки, използващи новоразкрита уязвимост в Microsoft Office. Активността се проследява под името на кампанията „Операция Neusploit“ и бележи един от най-ранните случаи на експлоатация в реално време след публичното ѝ разкриване.
Изследователи по сигурността наблюдават как групата използва уязвимостта като оръжие на 29 януари 2026 г., само три дни след като Microsoft разкри уязвимостта, насочена към потребители в Украйна, Словакия и Румъния.
Съдържание
CVE-2026-21509: Заобикаляне на функции за сигурност с реално въздействие
Експлоатираната уязвимост, CVE-2026-21509, носи CVSS оценка от 7.8 и засяга Microsoft Office. Класифицирана като заобикаляне на функции за сигурност, уязвимостта позволява на атакуващите да доставят специално създаден Office документ, който може да бъде задействан без необходимост от надлежно разрешение, отваряйки вратата за изпълнение на произволен код като част от по-широка верига за атаки.
Регионално-специфично социално инженерство и тактики за избягване
Кампанията разчиташе до голяма степен на специално разработено социално инженерство. Примамливите документи бяха създадени на английски, както и на румънски, словашки и украински език, за да се увеличи доверието сред местните цели. Инфраструктурата за доставка беше конфигурирана с мерки за избягване от страна на сървъра, гарантиращи, че злонамерени DLL файлове се обслужват само когато заявките произхождат от определени географски региони и включват очакваните HTTP заглавки на потребителския агент.
Стратегия с двоен капак чрез злонамерени RTF файлове
В основата на операцията е използването на злонамерени RTF документи за експлоатиране на CVE-2026-21509 и внедряване на един от двата дропера, всеки от които поддържа различна оперативна цел. Единият дропер предоставя възможност за кражба на имейли, докато другият инициира по-сложно, многоетапно проникване, което завършва с внедряването на пълнофункционален имплант за командване и контрол.
MiniDoor: Целенасочена кражба на имейли в Outlook
Първият дропър инсталира MiniDoor, DLL библиотека, базирана на C++, предназначена за събиране на имейл данни от папки на Microsoft Outlook, включително „Входящи“, „Нежелана поща“ и „Чернови“. Откраднатите съобщения се прехвърлят в два твърдо кодирани имейл акаунта, контролирани от нападателя:
ahmeclaw2002@outlook[.]com и ahmeclaw@proton[.]me.
MiniDoor се оценява като лека производна на NotDoor (известен също като GONEPOSTAL), инструмент, документиран преди това през септември 2025 г.
PixyNetLoader и веригата за импланти на Завета
Вторият дропър, известен като PixyNetLoader, улеснява значително по-сложна атакуваща последователност. Той извлича вградени компоненти и установява персистентност чрез отвличане на COM обекти. Сред извлечените файлове са зареждащ шелкод файл с име EhStoreShell.dll и PNG изображение с име SplashScreen.png.
Ролята на зареждащата програма е да извлече шелкод, скрит в изображението, използвайки стеганография, и да го изпълни. Тази злонамерена логика се активира само когато хост средата не е идентифицирана като пясъчник за анализ и когато DLL файлът е стартиран от explorer.exe, като в противен случай остава спящ, за да избегне откриване.
Декодираният шелкод в крайна сметка зарежда вграден .NET асемблър: имплант Grunt, свързан с отворения код COVENANT command-and-control framework. Предишното използване на Covenant Grunt от APT28 е документирано през септември 2025 г. по време на операция Phantom Net Voxel.
Тактическа приемственост с операция „Фантомна мрежа Воксел“
Въпреки че операция „Neusploit“ заменя метода за изпълнение на макроси с VBA от по-ранната кампания с подход, базиран на DLL, основните техники остават до голяма степен последователни. Те включват:
- Отвличане на COM за изпълнение и постоянство
- Механизми за проксиране на DLL
- Обфускация на низове, базирана на XOR
- Стеганографско вграждане на зареждащи програми за шелкод и полезни товари на Covenant Grunt в PNG изображения
Тази приемственост подчертава предпочитанието на APT28 към развиване на доказани занаятчийски умения, вместо към приемане на изцяло нови инструменти.
Предупреждението на CERT-UA потвърждава по-широко насочване
Кампанията съвпадна с предупреждение от Екипа за реагиране при компютърни извънредни ситуации на Украйна (CERT-UA), който предупреждаваше за APT28, експлоатиращ CVE-2026-21509 чрез документи на Microsoft Word. Дейността беше насочена към повече от 60 имейл адреса, свързани с централни изпълнителни органи в Украйна. Анализът на метаданните показа, че на 27 януари 2026 г. е създаден поне един документ-примамка, което допълнително подчертава бързото внедряване на уязвимостта.
Доставка, базирана на WebDAV, и финално изпълнение на полезния товар
Анализът разкри, че отварянето на злонамерения документ в Microsoft Office задейства WebDAV връзка с външен ресурс. Това взаимодействие изтегля файл с име, подобно на пряк път, съдържащ вграден програмен код, който след това извлича и изпълнява допълнителен полезен товар.
Този процес в крайна сметка отразява веригата на заразяване с PixyNetLoader, което води до внедряването на импланта Grunt на рамката COVENANT и предоставя на атакуващите постоянен отдалечен достъп до компрометираната система.
