Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) CVE-2026-21509 Microsoft Office ievainojamība

CVE-2026-21509 Microsoft Office ievainojamība

Līdz Mezo. gadam Advanced Persistent Threat (APT). gadā
Tulkot uz:

Ar Krieviju saistītais valsts sponsorētais apdraudējumu izpildītājs APT28, kas tiek izsekots arī kā UAC-0001, tiek vainots jaunā kiberuzbrukumu vilnī, izmantojot nesen atklātu Microsoft Office ievainojamību. Aktivitāte tiek izsekota ar kampaņas nosaukumu Operācija Neusploit un ir viens no agrākajiem atklātas izmantošanas gadījumiem pēc publiskas atklāšanas.

Drošības pētnieki novēroja, ka grupa izmanto šo ievainojamību kā ieroci 2026. gada 29. janvārī, tikai trīs dienas pēc tam, kad Microsoft atklāja ievainojamību, vēršoties pret lietotājiem visā Ukrainā, Slovākijā un Rumānijā.

CVE-2026-21509: Drošības līdzekļa apiešana ar reālu ietekmi

Izmantotā ievainojamība CVE-2026-21509 ir novērtēta ar CVSS vērtējumu 7,8 un ietekmē Microsoft Office. Šī nepilnība, kas klasificēta kā drošības līdzekļa apiešana, ļauj uzbrucējiem piegādāt speciāli izveidotu Office dokumentu, ko var aktivizēt bez atbilstošas autorizācijas, tādējādi paverot durvis patvaļīgai koda izpildei kā daļai no plašākas uzbrukumu ķēdes.

Reģionam specifiska sociālā inženierija un izvairīšanās taktika

Kampaņa lielā mērā balstījās uz pielāgotu sociālo inženieriju. Vilinājuma dokumenti tika izstrādāti angļu, kā arī rumāņu, slovāku un ukraiņu valodā, lai palielinātu ticamību vietējo mērķu vidū. Piegādes infrastruktūra tika konfigurēta ar servera puses apiešanas pasākumiem, nodrošinot, ka ļaunprātīgas DLL vērtuma slodzes tiek apkalpotas tikai tad, ja pieprasījumi tiek sūtīti no paredzētajiem ģeogrāfiskajiem reģioniem un ietver paredzētās lietotāja aģenta HTTP galvenes.

Divkāršās pilinātāja stratēģija, izmantojot ļaunprātīgus RTF failus

Operācijas pamatā ir ļaunprātīgu RTF dokumentu izmantošana, lai izmantotu CVE-2026-21509 un izvietotu vienu no diviem dropperiem, katrs no kuriem atbalsta atšķirīgu operatīvo mērķi. Viens droppers nodrošina e-pasta zādzības iespēju, bet otrs ierosina sarežģītāku, daudzpakāpju ielaušanos, kuras kulminācija ir pilnvērtīga komandu un kontroles implanta izvietošana.

MiniDoor: mērķtiecīga e-pasta zādzība no Outlook

Pirmais droppers instalē MiniDoor — uz C++ balstītu DLL, kas paredzēts e-pasta datu ievākšanai no Microsoft Outlook mapēm, tostarp Iesūtnes, Nevēlamā pasta un Melnrakstu mapēm. Nozagtās ziņas tiek ievāktas divos uzbrucēja kontrolētos e-pasta kontos:
ahmeclaw2002@outlook[.]com un ahmeclaw@proton[.]me.

Tiek lēsts, ka MiniDoor ir viegls NotDoor (pazīstams arī kā GONEPOSTAL) atvasinājums, kas iepriekš tika dokumentēts 2025. gada septembrī.

PixyNetLoader un Covenant implantu ķēde

Otrais droppers, kas pazīstams kā PixyNetLoader, atvieglo ievērojami sarežģītāku uzbrukumu secību. Tas izgūst iegultos komponentus un nodrošina noturību, izmantojot COM objektu nolaupīšanu. Starp izgūtajiem failiem ir apvalkkoda ielādētājs ar nosaukumu EhStoreShell.dll un PNG attēls ar nosaukumu SplashScreen.png.

Ielādētāja uzdevums ir, izmantojot steganogrāfijas rīkus, izgūt attēlā paslēpto apvalkkodu un to izpildīt. Šī ļaunprātīgā loģika aktivizējas tikai tad, ja resursdatora vide netiek identificēta kā analīzes smilškaste un ja DLL tiek palaists ar explorer.exe, pretējā gadījumā tas paliek neaktīvs, lai izvairītos no atklāšanas.

Dekodētais apvalkkods galu galā ielādē iegultu .NET komplektu: Grunt implantu, kas saistīts ar atvērtā koda COVENANT komandu un vadības ietvaru. APT28 iepriekšēja Covenant Grunt izmantošana tika dokumentēta 2025. gada septembrī operācijas Phantom Net Voxel laikā.

Taktiskā nepārtrauktība ar operāciju Phantom Net Voxel

Lai gan operācija Neusploit aizstāj iepriekšējās kampaņas VBA makro izpildes metodi ar uz DLL balstītu pieeju, pamatā esošās metodes lielā mērā paliek nemainīgas. Tās ietver:

  • COM nolaupīšana izpildes un noturības nolūkos
  • DLL starpniekservera mehānismi
  • XOR balstīta virkņu slēpšana
  • Shellcode ielādētāju un Covenant Grunt lietderīgo kravu steganogrāfiska iegulšana PNG attēlos

Šī nepārtrauktība izceļ APT28 priekšroku pārbaudītu amatniecības metožu attīstībai, nevis pilnīgi jaunu rīku ieviešanai.

CERT-UA brīdinājums apstiprina plašāku mērķauditorijas atlasi

Kampaņa sakrita ar Ukrainas Datoravāriju reaģēšanas komandas (CERT-UA) ieteikumu, kas brīdināja par APT28, kas izmanto CVE-2026-21509, izmantojot Microsoft Word dokumentus. Aktivitāte bija vērsta pret vairāk nekā 60 e-pasta adresēm, kas saistītas ar Ukrainas centrālajām izpildinstitūcijām. Metadatu analīze parādīja, ka vismaz viens mānīgs dokuments tika izveidots 2026. gada 27. janvārī, vēl vairāk uzsverot ievainojamības straujo ieviešanu operacionālajā jomā.

Uz WebDAV balstīta piegāde un galīgā lietderīgās slodzes izpilde

Analīze atklāja, ka ļaunprātīgā dokumenta atvēršana programmā Microsoft Office aktivizē WebDAV savienojumu ar ārēju resursu. Šī mijiedarbība lejupielādē failu ar saīsnes stila nosaukumu, kurā ir iegults programmas kods, kas pēc tam izgūst un izpilda papildu vērtumu.

Šis process galu galā atspoguļo PixyNetLoader infekcijas ķēdi, kā rezultātā tiek izvietots COVENANT ietvara Grunt implants un uzbrucējiem tiek piešķirta pastāvīga attālā piekļuve apdraudētajai sistēmai.

 

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
26,767
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...