Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) CVE-2026-21509 Microsoft Office-sårbarhed

CVE-2026-21509 Microsoft Office-sårbarhed

Med Mezo i Advanced Persistent Threat (APT)
Oversæt til:

Den statsstøttede trusselsaktør APT28, der er forbundet med Rusland og også spores som UAC-0001, er blevet tilskrevet en ny bølge af cyberangreb, der udnytter en nyligt afsløret sårbarhed i Microsoft Office. Aktiviteten spores under kampagnenavnet Operation Neusploit og markerer et af de tidligste tilfælde af åben udnyttelse efter offentliggørelse.

Sikkerhedsforskere observerede gruppen, der udnyttede fejlen som et våben, den 29. januar 2026, blot tre dage efter at Microsoft afslørede sårbarheden, der var rettet mod brugere i Ukraine, Slovakiet og Rumænien.

CVE-2026-21509: En sikkerhedsfunktionsomgåelse med reel effekt

Den udnyttede sårbarhed, CVE-2026-21509, har en CVSS-score på 7,8 og påvirker Microsoft Office. Fejlen, der er klassificeret som en omgåelse af sikkerhedsfunktioner, giver angribere mulighed for at levere et specialudformet Office-dokument, der kan udløses uden korrekt autorisation, hvilket åbner døren for vilkårlig kodeudførelse som en del af en bredere angrebskæde.

Regionspecifik social manipulation og undvigelsestaktikker

Kampagnen var i høj grad afhængig af skræddersyet social engineering. Lokkedokumenter blev udarbejdet på engelsk samt rumænsk, slovakisk og ukrainsk for at øge troværdigheden blandt lokale mål. Leveringsinfrastrukturen blev konfigureret med serverside-undgåelsesforanstaltninger, hvilket sikrede, at skadelige DLL-nyttelaster kun blev leveret, når anmodninger stammede fra de tilsigtede geografiske regioner og inkluderede de forventede User-Agent HTTP-headere.

Dobbelt dropper-strategi via ondsindede RTF-filer

Kernen i operationen er brugen af ondsindede RTF-dokumenter til at udnytte CVE-2026-21509 og implementere en af to droppere, der hver især understøtter et forskelligt operationelt mål. Den ene dropper leverer en e-mail-tyverifunktion, mens den anden initierer en mere kompleks, flertrinnet indtrængen, der kulminerer i implementeringen af et fuldt udstyret kommando- og kontrolimplantat.

MiniDoor: Målrettet Outlook e-mailtyveri

Den første dropper installerer MiniDoor, en C++-baseret DLL designet til at indsamle e-maildata fra Microsoft Outlook-mapper, herunder Indbakke, Uønsket og Kladder. De stjålne beskeder bliver filtreret ud til to hardkodede angriberkontrollerede e-mailkonti:
ahmeclaw2002@outlook[.]com og ahmeclaw@proton[.]me.

MiniDoor vurderes at være en letvægtsvariant af NotDoor (også kendt som GONEPOSTAL), et værktøj, der tidligere blev dokumenteret i september 2025.

PixyNetLoader og Covenant-implantatkæden

Den anden dropper, kendt som PixyNetLoader, muliggør en betydeligt mere avanceret angrebssekvens. Den udtrækker indlejrede komponenter og etablerer persistens gennem COM-objektkapring. Blandt de udpakkede filer er en shellcode-loader ved navn EhStoreShell.dll og et PNG-billede mærket SplashScreen.png.

Loaderens rolle er at udtrække shellcode gemt i billedet ved hjælp af steganografi og udføre den. Denne ondsindede logik aktiveres kun, når værtsmiljøet ikke er identificeret som en analysesandkasse, og når DLL'en startes af explorer.exe, ellers forbliver den inaktiv for at undgå detektion.

Den afkodede shellcode indlæser i sidste ende en indlejret .NET-assembly: et Grunt-implantat tilknyttet open source-kommando-og-kontrol-frameworket COVENANT. APT28's tidligere brug af Covenant Grunt blev tidligere dokumenteret i september 2025 under Operation Phantom Net Voxel.

Taktisk kontinuitet med Operation Phantom Net Voxel

Selvom Operation Neusploit erstatter den tidligere kampagnes VBA-makroudførelsesmetode med en DLL-baseret tilgang, forbliver de underliggende teknikker stort set ensartede. Disse omfatter:

  • COM-kapring til udførelse og persistens
  • DLL-proxymekanismer
  • XOR-baseret strengforvirring
  • Steganografisk indlejring af shellcode-loadere og Covenant Grunt-nyttelaster i PNG-billeder

Denne kontinuitet fremhæver APT28's præference for at videreudvikle gennemprøvet håndværk frem for at anvende helt nye værktøjer.

CERT-UA-advarsel bekræfter bredere målretning

Kampagnen faldt sammen med en advarsel fra Computer Emergency Response Team of Ukraine (CERT-UA), der advarede om, at APT28 udnyttede CVE-2026-21509 via Microsoft Word-dokumenter. Aktiviteten var rettet mod mere end 60 e-mailadresser knyttet til centrale udøvende myndigheder i Ukraine. Metadataanalyse viste, at mindst ét lokkedokument blev oprettet den 27. januar 2026, hvilket yderligere understregede den hurtige operationalisering af sårbarheden.

WebDAV-baseret levering og endelig udførelse af nyttelast

Analysen viste, at åbning af det skadelige dokument i Microsoft Office udløser en WebDAV-forbindelse til en ekstern ressource. Denne interaktion downloader en fil med et genvejslignende navn, der indeholder indlejret programkode, som derefter henter og udfører en yderligere nyttelast.

Denne proces afspejler i sidste ende PixyNetLoader-infektionskæden, hvilket fører til implementeringen af COVENANT-frameworkets Grunt-implantat og giver angribere vedvarende fjernadgang til det kompromitterede system.

 

Trending

Mest sete

Indlæser...