Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Išplėstinė nuolatinė grėsmė (APT) CVE-2026-21509 „Microsoft Office“ pažeidžiamumas

CVE-2026-21509 „Microsoft Office“ pažeidžiamumas

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Su Rusija susijęs valstybės remiamas kibernetinių atakų veikėjas APT28, dar vadinamas UAC-0001, buvo priskirtas naujai kibernetinių atakų bangai, pasinaudojant naujai atskleista „Microsoft Office“ pažeidžiamumu. Ši veikla sekama pagal kampanijos pavadinimą „Operacija Neusploit“ ir yra vienas iš pirmųjų tiesioginio išnaudojimo atvejų po viešo atskleidimo.

Saugumo tyrėjai pastebėjo, kad grupė panaudojo šią spragą ginklu 2026 m. sausio 29 d., praėjus vos trims dienoms po to, kai „Microsoft“ atskleidė pažeidžiamumą, taikydama taikinius į vartotojus visoje Ukrainoje, Slovakijoje ir Rumunijoje.

CVE-2026-21509: Saugos funkcijų apėjimas, turintis realaus pasaulio poveikį

Išnaudota pažeidžiamumas, CVE-2026-21509, turi 7,8 CVSS balą ir paveikia „Microsoft Office“. Klasifikuojama kaip saugos funkcijų apėjimas, ši spraga leidžia užpuolikams pateikti specialiai sukurtą „Office“ dokumentą, kurį galima aktyvuoti be tinkamo leidimo, atveriant duris savavališkam kodo vykdymui kaip platesnės atakų grandinės dalis.

Regionui būdinga socialinė inžinerija ir vengimo taktika

Kampanija daugiausia rėmėsi pritaikyta socialine inžinerija. Masalų dokumentai buvo parengti anglų, rumunų, slovakų ir ukrainiečių kalbomis, siekiant padidinti vietinių taikinių patikimumą. Pristatymo infrastruktūra buvo sukonfigūruota su serverio pusės apėjimo priemonėmis, užtikrinant, kad kenkėjiškos DLL programos būtų aptarnaujamos tik tada, kai užklausos būtų siunčiamos iš numatytų geografinių regionų ir apimtų numatytas vartotojo agento HTTP antraštes.

Dvigubo lašintuvo strategija naudojant kenkėjiškus RTF failus

Operacijos esmė – kenkėjiškų RTF dokumentų naudojimas siekiant išnaudoti CVE-2026-21509 ataką ir dislokuoti vieną iš dviejų „dropperių“, kurių kiekvienas skirtas skirtingam operaciniam tikslui. Vienas „dropperis“ suteikia galimybę vagystyti el. laiškus, o kitas inicijuoja sudėtingesnį, kelių pakopų įsilaužimą, kurio kulminacija – visavertės komandų ir valdymo sistemos diegimas.

„MiniDoor“: tikslinė el. pašto vagystė iš „Outlook“

Pirmasis „dropper“ įdiegia „MiniDoor“ – C++ pagrindu sukurtą DLL, skirtą el. pašto duomenims rinkti iš „Microsoft Outlook“ aplankų, įskaitant gautuosius, nepageidaujamus laiškus ir juodraščius. Pavogti laiškai yra filtruojami į dvi užkoduotas užpuoliko kontroliuojamas el. pašto paskyras:
ahmeclaw2002@outlook[.]com ir ahmeclaw@proton[.]me.

„MiniDoor“ vertinama kaip lengvesnė „NotDoor“ (taip pat žinomo kaip GONEPOSTAL) – įrankio, anksčiau aprašyto 2025 m. rugsėjį, – darinys.

„PixyNetLoader“ ir Sandoros implantų grandinė

Antrasis lašintuvas, žinomas kaip „PixyNetLoader“, palengvina žymiai sudėtingesnę atakų seką. Jis ištraukia įterptuosius komponentus ir užtikrina jų patikimumą per COM objektų užgrobimą. Tarp ištrauktų failų yra apvalkalo kodo įkėlėjas pavadinimu „EhStoreShell.dll“ ir PNG paveikslėlis pavadinimu „SplashScreen.png“.

Įkrovos programos vaidmuo – naudojant steganografiją išgauti paveikslėlyje paslėptą apvalkalo kodą ir jį vykdyti. Ši kenkėjiška logika suaktyvėja tik tada, kai pagrindinė aplinka neidentifikuojama kaip analizės smėlio dėžė ir kai DLL paleidžiama naudojant explorer.exe, kitu atveju ji lieka neveikli, kad nebūtų aptikta.

Iššifruotas apvalkalinis kodas galiausiai įkelia įterptąjį .NET surinkimą: „Grunt“ implantą, susietą su atvirojo kodo „COVENANT“ komandų ir valdymo sistema. Ankstesnis APT28 „Covenant Grunt“ naudojimas buvo anksčiau dokumentuotas 2025 m. rugsėjį operacijos „Phantom Net Voxel“ metu.

Taktinis tęstinumas su operacija „Phantom Net Voxel“

Nors „Operation Neusploit“ pakeičia ankstesnės kampanijos VBA makrokomandų vykdymo metodą DLL pagrindu veikiančiu metodu, pagrindiniai metodai išlieka iš esmės vienodi. Tai apima:

  • COM užgrobimas vykdymo ir išlikimo tikslais
  • DLL tarpinio serverio mechanizmai
  • XOR pagrįstas eilučių maskavimas
  • Steganografinis apvalkalinio kodo įkroviklių ir „Covenant Grunt“ naudingųjų apkrovų įterpimas į PNG vaizdus

Šis tęstinumas pabrėžia APT28 pirmenybę teikia patyrusių prekybos įgūdžių tobulinimui, o ne visiškai naujų įrankių diegimui.

CERT-UA įspėjimas patvirtina platesnį taikymą

Kampanija sutapo su Ukrainos kompiuterinių incidentų reagavimo komandos (CERT-UA) įspėjimu, kad APT28 išnaudoja CVE-2026-21509 per „Microsoft Word“ dokumentus. Veikla buvo nukreipta į daugiau nei 60 el. pašto adresų, susietų su centrinėmis vykdomosios valdžios institucijomis Ukrainoje. Metaduomenų analizė parodė, kad 2026 m. sausio 27 d. buvo sukurtas bent vienas viliojantis dokumentas, o tai dar labiau pabrėžė greitą pažeidžiamumo panaudojimą.

„WebDAV“ pagrindu sukurtas pristatymas ir galutinis naudingosios apkrovos vykdymas

Analizė parodė, kad atidarius kenkėjišką dokumentą „Microsoft Office“ programoje, suveikia „WebDAV“ ryšys su išoriniu ištekliumi. Šios sąveikos metu atsisiunčiamas failas su sparčiuoju pavadinimu, kuriame yra įterptasis programos kodas, kuris tada nuskaito ir vykdo papildomą paketą.

Šis procesas galiausiai atspindi „PixyNetLoader“ užkrėtimo grandinę, dėl kurios diegiamas „COVENANT“ platformos „Grunt“ implantas ir užpuolikams suteikiama nuolatinė nuotolinė prieiga prie pažeistos sistemos.


Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
26,767
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...