CVE-2026-21509 Kerentanan Microsoft Office
Aktor ancaman tajaan kerajaan yang berkaitan dengan Rusia, APT28, yang juga dikesan sebagai UAC-0001, telah dikaitkan dengan gelombang serangan siber baharu yang memanfaatkan kerentanan Microsoft Office yang baru didedahkan. Aktiviti ini dikesan di bawah nama kempen Operation Neusploit dan menandakan salah satu contoh terawal eksploitasi di alam liar berikutan pendedahan awam.
Penyelidik keselamatan memerhatikan kumpulan itu menggunakan kelemahan tersebut sebagai senjata pada 29 Januari 2026, hanya tiga hari selepas Microsoft mendedahkan kelemahan tersebut, menyasarkan pengguna di seluruh Ukraine, Slovakia dan Romania.
Isi kandungan
CVE-2026-21509: Pintasan Ciri Keselamatan dengan Impak Dunia Nyata
Kerentanan yang dieksploitasi, CVE-2026-21509, mempunyai skor CVSS sebanyak 7.8 dan menjejaskan Microsoft Office. Diklasifikasikan sebagai pintasan ciri keselamatan, kecacatan ini membolehkan penyerang menghantar dokumen Office yang direka khas yang boleh dicetuskan tanpa kebenaran yang betul, membuka pintu kepada pelaksanaan kod sewenang-wenangnya sebagai sebahagian daripada rantaian serangan yang lebih luas.
Kejuruteraan Sosial Khusus Wilayah dan Taktik Pengelakan
Kempen ini sangat bergantung pada kejuruteraan sosial yang disesuaikan. Dokumen umpan dibuat dalam bahasa Inggeris serta bahasa Romania, Slovakia dan Ukraine untuk meningkatkan kredibiliti dalam kalangan sasaran tempatan. Infrastruktur penghantaran dikonfigurasikan dengan langkah pengelakan bahagian pelayan, memastikan muatan DLL yang berniat jahat hanya dilayan apabila permintaan berasal dari kawasan geografi yang dimaksudkan dan termasuk pengepala HTTP Ejen Pengguna yang dijangkakan.
Strategi Penipisan Berganda melalui Fail RTF Berniat Jahat
Teras operasi ini adalah penggunaan dokumen RTF yang berniat jahat untuk mengeksploitasi CVE-2026-21509 dan menggunakan salah satu daripada dua dropper, setiap satunya menyokong objektif operasi yang berbeza. Satu dropper memberikan keupayaan kecurian e-mel, manakala yang satu lagi memulakan pencerobohan berbilang peringkat yang lebih kompleks yang memuncak dalam penggunaan implan arahan dan kawalan berciri penuh.
MiniDoor: Kecurian E-mel Outlook yang Disasarkan
Dropper pertama memasang MiniDoor, DLL berasaskan C++ yang direka untuk menuai data e-mel daripada folder Microsoft Outlook, termasuk Peti Masuk, Junk dan Draf. Mesej yang dicuri diasingkan ke dua akaun e-mel yang dikawal oleh penyerang berkod keras:
ahmeclaw2002@outlook[.]com dan ahmeclaw@proton[.]me.
MiniDoor dinilai sebagai terbitan ringan NotDoor (juga dikenali sebagai GONEPOSTAL), sebuah alat yang sebelum ini didokumenkan pada September 2025.
PixyNetLoader dan Rantai Implan Perjanjian
Penitis kedua, yang dikenali sebagai PixyNetLoader, memudahkan urutan serangan yang jauh lebih maju. Ia mengekstrak komponen terbenam dan mewujudkan kegigihan melalui rampasan objek COM. Antara fail yang diekstrak ialah pemuat kod shell bernama EhStoreShell.dll dan imej PNG berlabel SplashScreen.png.
Peranan pemuat adalah untuk mengekstrak kod shell yang tersembunyi di dalam imej menggunakan steganografi dan melaksanakannya. Logik berniat jahat ini hanya diaktifkan apabila persekitaran hos tidak dikenal pasti sebagai kotak pasir analisis dan apabila DLL dilancarkan oleh explorer.exe, jika tidak, kekal tidak aktif untuk mengelakkan pengesanan.
Kod shell yang dinyahkod akhirnya memuatkan pemasangan .NET terbenam: implan Grunt yang dikaitkan dengan rangka kerja arahan dan kawalan COVENANT sumber terbuka. Penggunaan Covenant Grunt oleh APT28 sebelum ini telah didokumenkan pada September 2025 semasa Operasi Phantom Net Voxel.
Kesinambungan Taktikal dengan Operasi Phantom Net Voxel
Walaupun Operasi Neusploit menggantikan kaedah pelaksanaan makro VBA kempen terdahulu dengan pendekatan berasaskan DLL, teknik asasnya sebahagian besarnya kekal konsisten. Ini termasuk:
- Rampasan COM untuk pelaksanaan dan kegigihan
- Mekanisme proksi DLL
- Pengkaburan rentetan berasaskan XOR
- Penyematan steganografi pemuat kod shell dan muatan Covenant Grunt dalam imej PNG
Kesinambungan ini menonjolkan keutamaan APT28 untuk mengembangkan kraftangan yang terbukti dan bukannya menerima pakai perkakasan yang baharu sepenuhnya.
Amaran CERT-UA Mengesahkan Penyasaran yang Lebih Luas
Kempen ini bertepatan dengan nasihat daripada Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT-UA), yang memberi amaran tentang APT28 yang mengeksploitasi CVE-2026-21509 melalui dokumen Microsoft Word. Aktiviti ini menyasarkan lebih daripada 60 alamat e-mel yang dikaitkan dengan pihak berkuasa eksekutif pusat di Ukraine. Analisis metadata menunjukkan bahawa sekurang-kurangnya satu dokumen umpan telah dicipta pada 27 Januari 2026, sekali gus menggariskan lagi operasi pantas kerentanan tersebut.
Penghantaran Berasaskan WebDAV dan Pelaksanaan Muatan Akhir
Analisis mendedahkan bahawa membuka dokumen berniat jahat dalam Microsoft Office mencetuskan sambungan WebDAV ke sumber luaran. Interaksi ini memuat turun fail dengan nama gaya pintasan yang mengandungi kod program terbenam, yang kemudiannya mengambil dan melaksanakan muatan tambahan.
Proses ini akhirnya mencerminkan rantaian jangkitan PixyNetLoader, yang membawa kepada penggunaan implan Grunt rangka kerja COVENANT dan memberikan penyerang akses jarak jauh berterusan kepada sistem yang dikompromi.
