Monen lisenssin alennustarjous
Uhatietokanta Advanced Persistent Threat (APT) CVE-2026-21509 Microsoft Officen haavoittuvuus

CVE-2026-21509 Microsoft Officen haavoittuvuus

Vuonna Mezo vuonna Advanced Persistent Threat (APT)
Käännä:

Venäjä-kytköksissä oleva valtion tukema uhkatoimija APT28, jota jäljitetään myös nimellä UAC-0001, on yhdistetty uuteen kyberhyökkäysten aaltoon, jossa hyödynnetään äskettäin paljastunutta Microsoft Office -haavoittuvuutta. Toimintaa seurataan Operaatio Neusploit -kampanjan alla, ja se on yksi varhaisimmista esimerkeistä julkisen paljastumisen jälkeen tapahtuneesta hyödyntämisestä.

Tietoturvatutkijat havaitsivat ryhmän käyttävän haavoittuvuutta aseena 29. tammikuuta 2026, vain kolme päivää sen jälkeen, kun Microsoft paljasti haavoittuvuuden, kohdistaen hyökkäykset käyttäjiin Ukrainassa, Slovakiassa ja Romaniassa.

CVE-2026-21509: Tietoturvaominaisuuden ohitus, jolla on vaikutuksia käytännössä

Hyödynnetty haavoittuvuus, CVE-2026-21509, on saanut CVSS-pistemäärän 7,8 ja vaikuttaa Microsoft Officeen. Tietoturvaominaisuuden ohitukseksi luokiteltu virhe mahdollistaa hyökkääjien toimittaa erityisesti muodostetun Office-asiakirjan, joka voidaan laukaista ilman asianmukaista valtuutusta, mikä avaa oven mielivaltaisen koodin suorittamiselle osana laajempaa hyökkäysketjua.

Aluekohtainen sosiaalinen manipulointi ja väistötaktiikat

Kampanja nojasi vahvasti räätälöityyn sosiaaliseen manipulointiin. Houkutteludokumentit laadittiin englanniksi sekä romaniaksi, slovakiksi ja ukrainaksi uskottavuuden lisäämiseksi paikallisten kohteiden keskuudessa. Toimitusinfrastruktuuri konfiguroitiin palvelinpuolen väistötoimenpiteillä, jotka varmistivat, että haitalliset DLL-hyötykuormat toimitettiin vain, kun pyynnöt olivat peräisin aiotuilta maantieteellisiltä alueilta ja sisälsivät odotetut User-Agent HTTP-otsikot.

Kaksoispipettistrategia haitallisten RTF-tiedostojen kautta

Operaation ytimessä on haitallisten RTF-dokumenttien käyttö CVE-2026-21509-haavoittuvuuden hyödyntämiseksi ja toisen kahdesta eri operatiivista tavoitetta tukevasta dropperista käyttöönotto. Toinen dropperi tarjoaa sähköpostivarkausominaisuuden, kun taas toinen käynnistää monimutkaisemman, monivaiheisen tunkeutumisen, joka huipentuu täysimittaisen komento- ja hallintaimplantin käyttöönottoon.

MiniDoor: Kohdennettu Outlook-sähköpostien varkaus

Ensimmäinen dropper asentaa MiniDoorin, C++-pohjaisen DLL-kirjaston, joka on suunniteltu keräämään sähköpostitietoja Microsoft Outlookin kansioista, mukaan lukien Saapuneet-, Roskaposti- ja Luonnokset-kansiot. Varastetut viestit suodatetaan kahdelle hyökkääjän hallitsemalle kovakoodatulle sähköpostitilille:
ahmeclaw2002@outlook[.]com ja ahmeclaw@proton[.]me.

MiniDoorin arvioidaan olevan NotDoorin (tunnetaan myös nimellä GONEPOSTAL) kevytversio, työkalu, joka dokumentoitiin aiemmin syyskuussa 2025.

PixyNetLoader ja Covenant-implanttiketju

Toinen pudotin, PixyNetLoader, mahdollistaa huomattavasti kehittyneemmän hyökkäyssekvenssin. Se purkaa upotettuja komponentteja ja luo pysyvyyden COM-objektien kaappauksen avulla. Purettujen tiedostojen joukossa on EhStoreShell.dll-niminen komentokoodin lataaja ja SplashScreen.png-niminen PNG-kuva.

Lataajan tehtävänä on poimia kuvaan piilotettua komentotulkkikoodia steganografian avulla ja suorittaa se. Tämä haitallinen logiikka aktivoituu vain, kun isäntäympäristöä ei tunnisteta analyysihiekkalaatikoksi ja kun explorer.exe käynnistää DLL-tiedoston, muuten se jää lepotilaan havaitsemisen välttämiseksi.

Dekoodattu komentotulkkikoodi lataa lopulta upotetun .NET-kokoonpanon: Grunt-implantin, joka liittyy avoimen lähdekoodin COVENANT-komento- ja ohjauskehykseen. APT28:n aiempi Covenant Gruntin käyttö dokumentoitiin aiemmin syyskuussa 2025 Operation Phantom Net Voxelin aikana.

Taktinen jatkuvuus operaatio Phantom Net Voxelin kanssa

Vaikka Operation Neusploit korvaa aiemman kampanjan VBA-makrojen suoritusmenetelmän DLL-pohjaisella lähestymistavalla, taustalla olevat tekniikat pysyvät suurelta osin samoina. Näitä ovat:

  • COM-kaappaus suorituksen ja pysyvyyden vuoksi
  • DLL-välityspalvelimet
  • XOR-pohjainen merkkijonojen hämärrys
  • Shell-koodin lataajien ja Covenant Grunt -hyötykuormien steganografinen upottaminen PNG-kuviin

Tämä jatkuvuus korostaa APT28:n mieltymystä kehittää toimivaksi todistettua ammattitaitoa kokonaan uusien työkalujen käyttöönoton sijaan.

CERT-UA-varoitus vahvistaa laajemman kohdentamisen

Kampanja tapahtui samaan aikaan Ukrainan tietoturvakeskuksen (CERT-UA) antaman varoituksen kanssa, jossa varoitettiin APT28:sta, joka hyödyntää CVE-2026-21509-haavoittuvuutta Microsoft Word -dokumenttien kautta. Toiminta kohdistui yli 60:een sähköpostiosoitteeseen, jotka olivat yhteydessä Ukrainan keskushallinnon viranomaisiin. Metadata-analyysi osoitti, että ainakin yksi houkutusasiakirja luotiin 27. tammikuuta 2026, mikä korostaa entisestään haavoittuvuuden nopeaa käyttöönottoa.

WebDAV-pohjainen toimitus ja lopullinen hyötykuorman toteutus

Analyysi paljasti, että haitallisen asiakirjan avaaminen Microsoft Officessa laukaisee WebDAV-yhteyden ulkoiseen resurssiin. Tämä toiminto lataa pikakuvakkeen kaltaisella nimellä varustetun tiedoston, joka sisältää upotetun ohjelmakoodin. Tämä tiedosto hakee ja suorittaa lisähyötykuorman.

Tämä prosessi peilaa viime kädessä PixyNetLoader-tartuntaketjua, mikä johtaa COVENANT-kehyksen Grunt-implantin käyttöönottoon ja hyökkääjille pysyvän etäkäytön myöntämiseen vaarantuneeseen järjestelmään.

 

Trendaavat

Eniten katsottu

Ladataan...