פגיעות של מיקרוסופט אופיס CVE-2026-21509
גורם האיום APT28, המקושר לרוסיה ובחסות המדינה, שגם הוא UAC-0001, יוחס לגל חדש של מתקפות סייבר המנצלות פגיעות חדשה במיקרוסופט אופיס. הפעילות נבדקת תחת שם הקמפיין Operation Neusploit ומסמנת את אחד המקרים המוקדמים ביותר של ניצול פרוע לאחר חשיפתה לציבור.
חוקרי אבטחה צפו בקבוצה שהפגינה את הפגם כנשק ב-29 בינואר 2026, שלושה ימים בלבד לאחר שמיקרוסופט חשפה את הפגיעות, כשהיא מכוונת למשתמשים ברחבי אוקראינה, סלובקיה ורומניה.
תוכן העניינים
CVE-2026-21509: עקיפת תכונת אבטחה עם השפעה על העולם האמיתי
הפגיעות המנוצלת, CVE-2026-21509, נושאת ציון CVSS של 7.8 ומשפיעה על Microsoft Office. הפגם, המסווג כמעקיפת תכונות אבטחה, מאפשר לתוקפים לספק מסמך Office בעל מבנה מיוחד שניתן להפעילו ללא אישור מתאים, ובכך פותח את הדלת להפעלת קוד שרירותי כחלק משרשרת תקיפה רחבה יותר.
הנדסה חברתית וטקטיקות התחמקות ספציפיות לאזור
הקמפיין הסתמך במידה רבה על הנדסה חברתית מותאמת אישית. מסמכי פיתוי נוצרו באנגלית וכן ברומנית, סלובקית ואוקראינית כדי להגביר את האמינות בקרב מטרות מקומיות. תשתית המסירה הוגדרה עם אמצעי התחמקות בצד השרת, מה שהבטיח שמטענים זדוניים של קבצי DLL יוגשו רק כאשר בקשות הגיעו מאזורים גיאוגרפיים ייעודיים וכללו את כותרות ה-HTTP הצפויות של סוכן המשתמש.
אסטרטגיית טפטוף כפולה באמצעות קבצי RTF זדוניים
בליבת המבצע עומד שימוש במסמכי RTF זדוניים כדי לנצל את CVE-2026-21509 ולפרוס אחד משני מערכות הגנה מפני פצצות (droppers), שכל אחד מהם תומך במטרה מבצעית שונה. אחת מהן מספקת יכולת גניבת דוא"ל, בעוד שהשנייה יוזמת חדירה מורכבת יותר ורב-שלבית, שמגיעה לשיאה בפריסת שתל פיקוד ובקרה מלא-תכונות.
MiniDoor: גניבת דוא”ל ממוקדת של Outlook
ה-dropper הראשון מתקין את MiniDoor, קובץ DLL מבוסס C++ שנועד לאסוף נתוני דוא"ל מתיקיות Microsoft Outlook, כולל תיבת דואר נכנס, דואר זבל וטיוטות. ההודעות הגנובות מסוננות לשני חשבונות דוא"ל מקודדים קשיחים הנשלטים על ידי תוקף:
ahmeclaw2002@outlook[.]com ו- ahmeclaw@proton[.]me.
MiniDoor מוערך כנגזרת קלת משקל של NotDoor (הידוע גם בשם GONEPOSTAL), כלי שתועד בעבר בספטמבר 2025.
PixyNetLoader ושרשרת השתלים של הברית
הקובץ השני, המכונה PixyNetLoader, מאפשר רצף תקיפה מתקדם משמעותית. הוא מחלץ רכיבים מוטמעים ומקים נוכחות באמצעות חטיפת אובייקטי COM. בין הקבצים שחולצו נמצאים טוען קוד מעטפת בשם EhStoreShell.dll ותמונת PNG שכותרתה SplashScreen.png.
תפקידו של הטוען הוא לחלץ קוד מעטפת מוסתר בתוך התמונה באמצעות סטגנוגרפיה ולהפעיל אותו. לוגיקה זדונית זו מופעלת רק כאשר סביבת המארח אינה מזוהה כארגז חול לניתוח וכאשר קובץ ה-DLL מופעל על ידי explorer.exe, אחרת הוא נשאר רדום כדי להימנע מגילוי.
קוד המעטפת המפוענח טוען בסופו של דבר אסמבלי .NET מוטמע: שתל Grunt המשויך למסגרת הפיקוד והבקרה COVENANT בקוד פתוח. השימוש הקודם של APT28 ב-Covenant Grunt תועד בעבר בספטמבר 2025 במהלך מבצע Phantom Net Voxel.
המשכיות טקטית עם מבצע פנטום רשת ווקסל
בעוד ש-Operation Neusploit מחליף את שיטת ביצוע המאקרו VBA של הקמפיין הקודם בגישה מבוססת DLL, הטכניקות הבסיסיות נותרות עקביות במידה רבה. אלו כוללות:
- חטיפת COM לצורך ביצוע והתמדה
- מנגנוני פרוקסי של DLL
- ערפול מחרוזות מבוסס XOR
- הטמעה סטגנוגרפית של טועני קוד מעטפת ומטעני Covenant Grunt בתוך תמונות PNG
המשכיות זו מדגישה את העדפתה של APT28 לפתח אומנות מוכחת על פני אימוץ כלים חדשים לחלוטין.
אזהרת CERT-UA מאשרת מיקוד רחב יותר
הקמפיין התרחש במקביל להתרעה של צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA), שהזהיר מפני ניצול CVE-2026-21509 על ידי APT28 באמצעות מסמכי Microsoft Word. הפעילות התמקדה ביותר מ-60 כתובות דוא"ל המקושרות לרשויות ביצוע מרכזיות באוקראינה. ניתוח מטא-נתונים הראה כי לפחות מסמך פיתוי אחד נוצר ב-27 בינואר 2026, מה שמדגיש עוד יותר את ההפעלה המהירה של הפגיעות.
אספקה מבוססת WebDAV וביצוע מטען סופי
ניתוח גילה שפתיחת המסמך הזדוני ב-Microsoft Office מפעילה חיבור WebDAV למשאב חיצוני. אינטראקציה זו מורידה קובץ עם שם בסגנון קיצור דרך המכיל קוד תוכנית מוטמע, אשר לאחר מכן מאחזר ומבצע מטען נוסף.
תהליך זה משקף בסופו של דבר את שרשרת ההדבקה של PixyNetLoader, מה שמוביל לפריסת שתל Grunt של מסגרת COVENANT ומעניק לתוקפים גישה מרחוק מתמשכת למערכת שנפגעה.
