Ευπάθεια CVE-2026-21509 του Microsoft Office
Ο κρατικά χρηματοδοτούμενος, συνδεδεμένος με τη Ρωσία, κακόβουλος παράγοντας APT28, ο οποίος παρακολουθείται επίσης ως UAC-0001, έχει αποδοθεί σε ένα νέο κύμα κυβερνοεπιθέσεων που αξιοποιούν μια πρόσφατα αποκαλυφθείσα ευπάθεια του Microsoft Office. Η δραστηριότητα παρακολουθείται με το όνομα της καμπάνιας Operation Neusploit και σηματοδοτεί μία από τις πρώτες περιπτώσεις εκμετάλλευσης σε πραγματικό χρόνο μετά τη δημόσια αποκάλυψη.
Οι ερευνητές ασφαλείας παρατήρησαν την ομάδα να χρησιμοποιεί το ελάττωμα ως όπλο στις 29 Ιανουαρίου 2026, μόλις τρεις ημέρες αφότου η Microsoft αποκάλυψε την ευπάθεια, στοχεύοντας χρήστες σε όλη την Ουκρανία, τη Σλοβακία και τη Ρουμανία.
Πίνακας περιεχομένων
CVE-2026-21509: Παράκαμψη χαρακτηριστικών ασφαλείας με αντίκτυπο στον πραγματικό κόσμο
Η ευπάθεια CVE-2026-21509 που εκμεταλλεύτηκε, έχει βαθμολογία CVSS 7,8 και επηρεάζει το Microsoft Office. Κατατάσσεται ως παράκαμψη χαρακτηριστικών ασφαλείας και επιτρέπει στους εισβολείς να παραδώσουν ένα ειδικά κατασκευασμένο έγγραφο του Office που μπορεί να ενεργοποιηθεί χωρίς την κατάλληλη εξουσιοδότηση, ανοίγοντας την πόρτα σε αυθαίρετη εκτέλεση κώδικα ως μέρος μιας ευρύτερης αλυσίδας επίθεσης.
Κοινωνική Μηχανική και Τακτικές Αποφυγής ανά Περιοχή
Η καμπάνια βασίστηκε σε μεγάλο βαθμό στην προσαρμοσμένη κοινωνική μηχανική. Τα έγγραφα lure δημιουργήθηκαν στα Αγγλικά, καθώς και στα Ρουμανικά, Σλοβακικά και Ουκρανικά, για να αυξηθεί η αξιοπιστία μεταξύ των τοπικών στόχων. Η υποδομή παράδοσης διαμορφώθηκε με μέτρα αποφυγής από την πλευρά του διακομιστή, διασφαλίζοντας ότι τα κακόβουλα φορτία DLL εξυπηρετούνταν μόνο όταν τα αιτήματα προέρχονταν από προβλεπόμενες γεωγραφικές περιοχές και περιλάμβαναν τις αναμενόμενες κεφαλίδες HTTP του παράγοντα χρήστη.
Στρατηγική διπλής απόθεσης μέσω κακόβουλων αρχείων RTF
Στον πυρήνα της επιχείρησης βρίσκεται η χρήση κακόβουλων εγγράφων RTF για την εκμετάλλευση του CVE-2026-21509 και την ανάπτυξη ενός από τα δύο droppers, καθένα από τα οποία υποστηρίζει διαφορετικό επιχειρησιακό στόχο. Το ένα dropper παρέχει δυνατότητα κλοπής email, ενώ το άλλο ξεκινά μια πιο σύνθετη, πολυσταδιακή εισβολή που κορυφώνεται με την ανάπτυξη ενός πλήρους εμφυτεύματος εντολών και ελέγχου.
MiniDoor: Στοχευμένη κλοπή email από το Outlook
Το πρώτο dropper εγκαθιστά το MiniDoor, ένα αρχείο DLL βασισμένο σε C++, το οποίο έχει σχεδιαστεί για τη συλλογή δεδομένων email από φακέλους του Microsoft Outlook, συμπεριλαμβανομένων των Inbox, Junk και Drafts. Τα κλεμμένα μηνύματα αποστέλλονται σε δύο λογαριασμούς email που ελέγχονται από εισβολείς και έχουν ενσωματωμένο κώδικα:
ahmeclaw2002@outlook[.]com και ahmeclaw@proton[.]me.
Το MiniDoor αξιολογείται ως ένα ελαφρύ παράγωγο του NotDoor (γνωστού και ως GONEPOSTAL), ενός εργαλείου που είχε προηγουμένως τεκμηριωθεί τον Σεπτέμβριο του 2025.
PixyNetLoader και η αλυσίδα εμφυτευμάτων Covenant
Το δεύτερο dropper, γνωστό ως PixyNetLoader, διευκολύνει μια σημαντικά πιο προηγμένη ακολουθία επιθέσεων. Εξάγει ενσωματωμένα στοιχεία και δημιουργεί persistence μέσω hijacking αντικειμένων COM. Μεταξύ των εξαγόμενων αρχείων είναι ένα πρόγραμμα φόρτωσης shellcode με το όνομα EhStoreShell.dll και μια εικόνα PNG με την ετικέτα SplashScreen.png.
Ο ρόλος του loader είναι να εξάγει τον shellcode που είναι κρυμμένος μέσα στην εικόνα χρησιμοποιώντας στεγανογραφία και να τον εκτελέσει. Αυτή η κακόβουλη λογική ενεργοποιείται μόνο όταν το περιβάλλον κεντρικού υπολογιστή δεν αναγνωρίζεται ως sandbox ανάλυσης και όταν το DLL εκκινείται από το explorer.exe, διαφορετικά παραμένει αδρανές για να αποφευχθεί η ανίχνευση.
Ο αποκωδικοποιημένος κώδικας shell φορτώνει τελικά μια ενσωματωμένη συναρμολόγηση .NET: ένα εμφύτευμα Grunt που σχετίζεται με το πλαίσιο εντολών και ελέγχου ανοιχτού κώδικα COVENANT. Η προηγούμενη χρήση του Covenant Grunt από την APT28 είχε καταγραφεί προηγουμένως τον Σεπτέμβριο του 2025 κατά τη διάρκεια της επιχείρησης Phantom Net Voxel.
Τακτική Συνέχεια με την Επιχείρηση Phantom Net Voxel
Ενώ η λειτουργία Neusploit αντικαθιστά τη μέθοδο εκτέλεσης μακροεντολών VBA της προηγούμενης καμπάνιας με μια προσέγγιση που βασίζεται σε DLL, οι υποκείμενες τεχνικές παραμένουν σε μεγάλο βαθμό συνεπείς. Αυτές περιλαμβάνουν:
- Υπερβολική χρήση COM για εκτέλεση και διατήρηση
- Μηχανισμοί proxy DLL
- Αποκρύπτηση συμβολοσειρών με βάση το XOR
- Στεγανογραφική ενσωμάτωση φορτωτών shellcode και ωφέλιμων φορτίων Covenant Grunt σε εικόνες PNG
Αυτή η συνέχεια υπογραμμίζει την προτίμηση της APT28 για την εξέλιξη αποδεδειγμένης τεχνικής αντί της υιοθέτησης εντελώς νέων εργαλείων.
Η προειδοποίηση CERT-UA επιβεβαιώνει ευρύτερη στόχευση
Η εκστρατεία συνέπεσε με μια συμβουλευτική ανακοίνωση της Ομάδας Αντιμετώπισης Έκτακτης Ανάγκης σε Υπολογιστές της Ουκρανίας (CERT-UA), η οποία προειδοποίησε για την εκμετάλλευση του CVE-2026-21509 από την APT28 μέσω εγγράφων του Microsoft Word. Η δραστηριότητα στόχευσε περισσότερες από 60 διευθύνσεις ηλεκτρονικού ταχυδρομείου που συνδέονταν με τις κεντρικές εκτελεστικές αρχές στην Ουκρανία. Η ανάλυση μεταδεδομένων έδειξε ότι τουλάχιστον ένα έγγραφο-δόλωμα δημιουργήθηκε στις 27 Ιανουαρίου 2026, υπογραμμίζοντας περαιτέρω την ταχεία λειτουργικότητα του ευάλωτου σημείου.
Παράδοση βασισμένη σε WebDAV και εκτέλεση τελικού ωφέλιμου φορτίου
Η ανάλυση αποκάλυψε ότι το άνοιγμα του κακόβουλου εγγράφου στο Microsoft Office ενεργοποιεί μια σύνδεση WebDAV με έναν εξωτερικό πόρο. Αυτή η αλληλεπίδραση κατεβάζει ένα αρχείο με όνομα σε στυλ συντόμευσης που περιέχει ενσωματωμένο κώδικα προγράμματος, το οποίο στη συνέχεια ανακτά και εκτελεί ένα επιπλέον ωφέλιμο φορτίο.
Αυτή η διαδικασία τελικά αντικατοπτρίζει την αλυσίδα μόλυνσης του PixyNetLoader, οδηγώντας στην ανάπτυξη του Grunt implant του πλαισίου COVENANT και παρέχοντας στους εισβολείς μόνιμη απομακρυσμένη πρόσβαση στο παραβιασμένο σύστημα.
