Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Täiustatud püsiv oht (APT) CVE-2026-21509 Microsoft Office'i haavatavus

CVE-2026-21509 Microsoft Office'i haavatavus

Aastaks Mezo aastal Täiustatud püsiv oht (APT)
Tõlgi:

Venemaaga seotud riiklikult toetatud ohutegija APT28, keda jälgitakse ka kui UAC-0001, on seostatud uue küberrünnakute lainega, mis kasutab ära äsja avalikustatud Microsoft Office'i haavatavust. Tegevust jälgitakse kampaanianime Operatsioon Neusploit all ja see on üks esimesi juhtumeid, kus avalikku avalikustamist on toimunud in-line ärakasutamine.

Turvauurijad jälgisid gruppi haavatavuse relvana kasutamas 29. jaanuaril 2026, vaid kolm päeva pärast seda, kui Microsoft haavatavuse avalikustas, sihtides kasutajaid Ukrainas, Slovakkias ja Rumeenias.

CVE-2026-21509: Turvafunktsiooni möödahiilimine reaalse maailma mõjuga

Kasutatud haavatavus CVE-2026-21509 omab CVSS-skoori 7,8 ja mõjutab Microsoft Office'it. Turvafunktsiooni möödaviiguks liigitatud viga võimaldab ründajatel edastada spetsiaalselt loodud Office'i dokumenti, mida saab käivitada ilma korraliku loata, avades ukse suvalise koodi käivitamisele osana laiemast rünnakuahelast.

Piirkonnaspetsiifiline sotsiaalne manipuleerimine ja kõrvalehoidumistaktika

Kampaania tugines suuresti kohandatud sotsiaalsele manipuleerimisele. Peibutusdokumendid koostati lisaks inglise keelele ka rumeenia, slovaki ja ukraina keeles, et suurendada usaldusväärsust kohalike sihtmärkide seas. Kohaletoimetamise infrastruktuur konfigureeriti serveripoolsete varjamismeetmetega, tagades, et pahatahtlikke DLL-faile edastati ainult siis, kui päringud pärinesid ettenähtud geograafilistest piirkondadest ja sisaldasid eeldatavaid kasutajaagendi HTTP-päiseid.

Kahekordse tilguti strateegia pahatahtlike RTF-failide kaudu

Operatsiooni keskmes on pahatahtlike RTF-dokumentide kasutamine CVE-2026-21509 ärakasutamiseks ja ühe kahest dropperist juurutamiseks, millest kumbki toetab erinevat operatiivset eesmärki. Üks dropper pakub e-kirjade varastamise võimalust, teine aga algatab keerukama, mitmeastmelise sissetungi, mis kulmineerub täisfunktsionaalse juhtimis- ja kontrollsüsteemi juurutamisega.

MiniDoor: sihitud Outlooki meilide vargus

Esimene dropper installib MiniDoori, C++-põhise DLL-i, mis on loodud Microsoft Outlooki kaustadest (sh postkast, rämpspost ja mustandid) meiliandmete kogumiseks. Varastatud kirjad filtreeritakse kahele ründaja poolt kontrollitud kõvakodeeritud meilikontole:
ahmeclaw2002@outlook[.]com ja ahmeclaw@proton[.]me.

MiniDoori hinnatakse NotDoori (tuntud ka kui GONEPOSTAL) kergekaaluliseks derivaadiks, mis on tööriist, mida varem kirjeldati 2025. aasta septembris.

PixyNetLoader ja Covenanti implantaadikett

Teine dropper, tuntud kui PixyNetLoader, hõlbustab oluliselt keerukamat rünnakujada. See ekstraheerib manustatud komponente ja loob püsivuse COM-objekti kaaperdamise kaudu. Ekstraheeritud failide hulgas on shellkoodi laadur nimega EhStoreShell.dll ja PNG-pilt nimega SplashScreen.png.

Laadija roll on steganograafia abil pildi sees peidetud kestakoodi eraldada ja see käivitada. See pahatahtlik loogika aktiveerub ainult siis, kui hostkeskkonda ei tuvastata analüüsi liivakastina ja kui explorer.exe käivitab DLL-i, vastasel juhul jääb see avastamise vältimiseks passiivseks.

Dekodeeritud kestkood laadib lõpuks manustatud .NET-i assembleri: Grunti implantaadi, mis on seotud avatud lähtekoodiga COVENANTi juhtimis- ja juhtimisraamistikuga. APT28 varasem Covenant Grundi kasutamine dokumenteeriti varem 2025. aasta septembris operatsiooni Phantom Net Voxel ajal.

Taktikaline järjepidevus operatsiooniga Phantom Net Voxel

Kuigi Operation Neusploit asendab varasema kampaania VBA makrode täitmise meetodi DLL-põhise lähenemisviisiga, jäävad aluseks olevad tehnikad suures osas samaks. Nende hulka kuuluvad:

  • COM-kaaperdamine täitmise ja püsivuse tagamiseks
  • DLL-i puhverserveri mehhanismid
  • XOR-põhine stringi hägustamine
  • PNG-piltidele shellikoodilaadurite ja Covenant Grunti kasulike koormuste steganograafiline manustamine

See järjepidevus rõhutab APT28 eelistust täiustada tõestatud oskusteavet täiesti uute tööriistade omaksvõtmise asemel.

CERT-UA hoiatus kinnitab laiemat sihtimist

Kampaania langes kokku Ukraina arvutiintsidentidega tegeleva meeskonna (CERT-UA) hoiatusega, mis hoiatas APT28 eest, mis kasutab Microsoft Wordi dokumentide kaudu ära CVE-2026-21509 haavatavust. Tegevus oli suunatud enam kui 60 Ukraina keskvõimuga seotud e-posti aadressile. Metaandmete analüüs näitas, et 27. jaanuaril 2026 loodi vähemalt üks peibutusdokument, mis rõhutab veelgi haavatavuse kiiret kasutuselevõttu.

WebDAV-põhine kohaletoimetamine ja lõplik kasuliku koormuse täitmine

Analüüs näitas, et pahatahtliku dokumendi avamine Microsoft Office'is käivitab WebDAV-ühenduse välise ressursiga. See interaktsioon laadib alla otsetee-stiilis nimega faili, mis sisaldab manustatud programmikoodi, mis seejärel hangib ja käivitab täiendava kasuliku koormuse.

See protsess peegeldab lõppkokkuvõttes PixyNetLoaderi nakatamisahelat, mis viib COVENANTi raamistiku Grunt-implantaadi juurutamiseni ja ründajatele püsiva kaugjuurdepääsu andmiseni ohustatud süsteemile.

 

Trendikas

Enim vaadatud

Laadimine...