آسیب‌پذیری CVE-2026-21509 در مایکروسافت آفیس

گروه تهدید دولتی APT28 که با نام UAC-0001 نیز شناخته می‌شود، به موج جدیدی از حملات سایبری با استفاده از یک آسیب‌پذیری تازه افشا شده مایکروسافت آفیس نسبت داده شده است. این فعالیت تحت عنوان کمپین Operation Neusploit ردیابی می‌شود و یکی از اولین نمونه‌های بهره‌برداری گسترده پس از افشای عمومی را نشان می‌دهد.

محققان امنیتی مشاهده کردند که این گروه در ۲۹ ژانویه ۲۰۲۶، تنها سه روز پس از افشای این آسیب‌پذیری توسط مایکروسافت، از این نقص سوءاستفاده کرده و کاربرانی را در سراسر اوکراین، اسلواکی و رومانی هدف قرار داده است.

CVE-2026-21509: یک آسیب‌پذیری دور زدن ویژگی امنیتی با تأثیر در دنیای واقعی

آسیب‌پذیری مورد سوءاستفاده، CVE-2026-21509، دارای امتیاز CVSS 7.8 است و مایکروسافت آفیس را تحت تأثیر قرار می‌دهد. این نقص که به عنوان یک دور زدن ویژگی امنیتی طبقه‌بندی می‌شود، به مهاجمان اجازه می‌دهد تا یک سند آفیس دستکاری‌شده‌ی خاص را که می‌تواند بدون مجوز مناسب فعال شود، ارائه دهند و در را برای اجرای کد دلخواه به عنوان بخشی از یک زنجیره حمله گسترده‌تر باز کنند.

مهندسی اجتماعی و تاکتیک‌های گریز مختص هر منطقه

این کمپین به شدت به مهندسی اجتماعی سفارشی متکی بود. اسناد فریب به زبان‌های انگلیسی، رومانیایی، اسلواکی و اوکراینی ساخته شده بودند تا اعتبار آنها در بین اهداف محلی افزایش یابد. زیرساخت تحویل با اقدامات گریز از سمت سرور پیکربندی شده بود، که تضمین می‌کرد بارهای داده مخرب DLL فقط زمانی ارائه شوند که درخواست‌ها از مناطق جغرافیایی مورد نظر سرچشمه گرفته و شامل هدرهای HTTP مورد انتظار User-Agent باشند.

استراتژی رهاسازی دوگانه از طریق فایل‌های مخرب RTF

در هسته این عملیات، استفاده از اسناد مخرب RTF برای سوءاستفاده از آسیب‌پذیری CVE-2026-21509 و استقرار یکی از دو دراپر (dropper) قرار دارد که هر کدام از یک هدف عملیاتی متفاوت پشتیبانی می‌کنند. یکی از دراپرها قابلیت سرقت ایمیل را ارائه می‌دهد، در حالی که دیگری یک نفوذ پیچیده‌تر و چند مرحله‌ای را آغاز می‌کند که در نهایت به استقرار یک ایمپلنت فرمان و کنترل کامل منجر می‌شود.

MiniDoor: سرقت هدفمند ایمیل Outlook

اولین دراپر، MiniDoor را نصب می‌کند، یک DLL مبتنی بر C++ که برای جمع‌آوری داده‌های ایمیل از پوشه‌های Microsoft Outlook، از جمله Inbox، Junk و Drafts، طراحی شده است. پیام‌های دزدیده شده به دو حساب ایمیل تحت کنترل مهاجم که به صورت کدنویسی شده هستند، منتقل می‌شوند:
ahmeclaw2002@outlook[.]com و ahmeclaw@proton[.]me.

MiniDoor به عنوان یک مشتق سبک از NotDoor (همچنین با نام GONEPOSTAL شناخته می‌شود) ارزیابی می‌شود، ابزاری که قبلاً در سپتامبر 2025 مستند شده بود.

PixyNetLoader و زنجیره ایمپلنت کاوننت

دومین دراپر، که با نام PixyNetLoader شناخته می‌شود، یک توالی حمله بسیار پیشرفته‌تر را تسهیل می‌کند. این دراپر اجزای تعبیه‌شده را استخراج کرده و از طریق ربودن شیء COM، پایداری ایجاد می‌کند. در میان فایل‌های استخراج‌شده، یک بارگذار shellcode به نام EhStoreShell.dll و یک تصویر PNG با برچسب SplashScreen.png وجود دارد.

نقش لودر استخراج shellcode پنهان شده در تصویر با استفاده از steganography و اجرای آن است. این منطق مخرب تنها زمانی فعال می‌شود که محیط میزبان به عنوان یک sandbox تجزیه و تحلیل شناسایی نشود و DLL توسط explorer.exe اجرا شود، در غیر این صورت برای جلوگیری از شناسایی، غیرفعال باقی می‌ماند.

شل‌کد رمزگشایی‌شده در نهایت یک اسمبلی .NET جاسازی‌شده را بارگذاری می‌کند: یک ایمپلنت Grunt مرتبط با چارچوب فرمان و کنترل متن‌باز COVENANT. استفاده قبلی APT28 از Covenant Grunt قبلاً در سپتامبر 2025 طی عملیات Phantom Net Voxel مستند شده بود.

تداوم تاکتیکی با عملیات فانتوم نت وکسل

اگرچه عملیات Neusploit روش اجرای ماکرو VBA کمپین قبلی را با رویکردی مبتنی بر DLL جایگزین می‌کند، اما تکنیک‌های اساسی آن تا حد زیادی ثابت باقی مانده‌اند. این موارد عبارتند از:

• ربودن COM برای اجرا و ماندگاری
• مکانیسم‌های پروکسی DLL
• مبهم‌سازی رشته مبتنی بر XOR
• جاسازی استگانوگرافیک لودرهای shellcode و پیلودهای Covenant Grunt در تصاویر PNG

این تداوم، ترجیح APT28 را برای تکامل مهارت‌های اثبات‌شده به جای اتخاذ ابزارهای کاملاً جدید برجسته می‌کند.

هشدار CERT-UA هدف‌گیری گسترده‌تر را تأیید می‌کند

این کمپین همزمان با اطلاعیه‌ای از سوی تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) منتشر شد که در آن نسبت به سوءاستفاده APT28 از آسیب‌پذیری CVE-2026-21509 از طریق اسناد مایکروسافت ورد هشدار داده شده بود. این فعالیت بیش از 60 آدرس ایمیل مرتبط با مقامات اجرایی مرکزی در اوکراین را هدف قرار داده بود. تجزیه و تحلیل فراداده نشان داد که حداقل یک سند فریب در 27 ژانویه 2026 ایجاد شده است که این امر، عملیاتی شدن سریع این آسیب‌پذیری را بیش از پیش برجسته می‌کند.

تحویل مبتنی بر WebDAV و اجرای نهایی Payload

تجزیه و تحلیل نشان داد که باز کردن سند مخرب در مایکروسافت آفیس، یک اتصال WebDAV به یک منبع خارجی را فعال می‌کند. این تعامل، فایلی با نامی به سبک میانبر حاوی کد برنامه جاسازی‌شده را دانلود می‌کند که سپس یک بار داده اضافی را بازیابی و اجرا می‌کند.

این فرآیند در نهایت زنجیره آلودگی PixyNetLoader را منعکس می‌کند و منجر به استقرار ایمپلنت Grunt چارچوب COVENANT و اعطای دسترسی از راه دور مداوم به سیستم آسیب‌دیده به مهاجمان می‌شود.