Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) CVE-2026-21509 Microsoft Office-sårbarhet

CVE-2026-21509 Microsoft Office-sårbarhet

Med Mezo i Advanced Persistent Threat (APT)
Oversett til:

Den Russland-tilknyttede statsstøttede trusselaktøren APT28, også sporet som UAC-0001, har blitt tilskrevet en ny bølge av cyberangrep som utnytter en nylig avslørt sårbarhet i Microsoft Office. Aktiviteten spores under kampanjenavnet Operation Neusploit og markerer et av de tidligste tilfellene av utnyttelse i praksis etter offentliggjøring.

Sikkerhetsforskere observerte gruppen som utnyttet feilen som et våpen 29. januar 2026, bare tre dager etter at Microsoft avslørte sårbarheten, som var rettet mot brukere i Ukraina, Slovakia og Romania.

CVE-2026-21509: En omgåelse av sikkerhetsfunksjoner med reell innvirkning

Det utnyttede sikkerhetsproblemet, CVE-2026-21509, har en CVSS-poengsum på 7,8 og påvirker Microsoft Office. Feilen, som er klassifisert som en omgåelse av sikkerhetsfunksjoner, lar angripere levere et spesiallaget Office-dokument som kan utløses uten riktig autorisasjon, noe som åpner døren for vilkårlig kjøring av kode som en del av en bredere angrepskjede.

Regionspesifikk sosial manipulering og unnvikelsestaktikker

Kampanjen var i stor grad avhengig av skreddersydd sosial manipulering. Lokkedokumenter ble laget på engelsk så vel som rumensk, slovakisk og ukrainsk for å øke troverdigheten blant lokale mål. Leveringsinfrastrukturen ble konfigurert med omgåelsestiltak på serversiden, noe som sikret at ondsinnede DLL-nyttelaster bare ble levert når forespørsler kom fra tiltenkte geografiske regioner og inkluderte de forventede brukeragent-HTTP-overskriftene.

Dobbel dropperstrategi via skadelige RTF-filer

Kjernen i operasjonen er bruk av ondsinnede RTF-dokumenter for å utnytte CVE-2026-21509 og distribuere en av to droppere, som hver støtter et annet operasjonelt mål. Den ene dropperen leverer en e-posttyverifunksjon, mens den andre initierer et mer komplekst, flertrinns innbrudd som kulminerer i utplasseringen av et fullfunksjonelt kommando- og kontrollimplantat.

MiniDoor: Målrettet e-posttyveri fra Outlook

Den første dropperen installerer MiniDoor, en C++-basert DLL som er utviklet for å samle e-postdata fra Microsoft Outlook-mapper, inkludert Innboks, Søppelpost og Utkast. De stjålne meldingene blir filtrert til to hardkodede angriperkontrollerte e-postkontoer:
ahmeclaw2002@outlook[.]com og ahmeclaw@proton[.]me.

MiniDoor vurderes å være en lettvektsvariant av NotDoor (også kjent som GONEPOSTAL), et verktøy som tidligere ble dokumentert i september 2025.

PixyNetLoader og Covenant-implantatkjeden

Den andre dropperen, kjent som PixyNetLoader, muliggjør en betydelig mer avansert angrepssekvens. Den trekker ut innebygde komponenter og etablerer persistens gjennom COM-objektkapring. Blant de utpakkede filene er en skallkodelaster kalt EhStoreShell.dll og et PNG-bilde merket SplashScreen.png.

Lasterens rolle er å trekke ut skallkode skjult i bildet ved hjelp av steganografi og kjøre den. Denne ondsinnede logikken aktiveres bare når vertsmiljøet ikke er identifisert som en analysesandkasse og når DLL-filen startes av explorer.exe, ellers forblir den inaktiv for å unngå oppdagelse.

Den dekodede skallkoden laster til slutt en innebygd .NET-assemblering: et Grunt-implantat tilknyttet det åpne kildekode-rammeverket COVENANT for kommando- og kontroll. APT28s tidligere bruk av Covenant Grunt ble tidligere dokumentert i september 2025 under Operation Phantom Net Voxel.

Taktisk kontinuitet med Operasjon Phantom Net Voxel

Selv om Operation Neusploit erstatter den tidligere kampanjens VBA-makroutførelsesmetode med en DLL-basert tilnærming, forblir de underliggende teknikkene stort sett konsistente. Disse inkluderer:

  • COM-kapring for utførelse og persistens
  • DLL-proxymekanismer
  • XOR-basert strengforvirring
  • Steganografisk innebygging av skallkodelastere og Covenant Grunt-nyttelaster i PNG-bilder

Denne kontinuiteten fremhever APT28s preferanse for å utvikle velprøvd håndverkshåndverk fremfor å ta i bruk helt nye verktøy.

CERT-UA-advarsel bekrefter bredere målretting

Kampanjen falt sammen med en advarsel fra Computer Emergency Response Team of Ukraine (CERT-UA), som advarte om at APT28 utnyttet CVE-2026-21509 via Microsoft Word-dokumenter. Aktiviteten var rettet mot mer enn 60 e-postadresser knyttet til sentrale utøvende myndigheter i Ukraina. Metadataanalyse viste at minst ett lokkedokument ble opprettet 27. januar 2026, noe som ytterligere understreket den raske operasjonaliseringen av sårbarheten.

WebDAV-basert levering og endelig utførelse av nyttelast

Analysen viste at åpning av det skadelige dokumentet i Microsoft Office utløser en WebDAV-tilkobling til en ekstern ressurs. Denne interaksjonen laster ned en fil med et snarveislignende navn som inneholder innebygd programkode, som deretter henter og kjører en ekstra nyttelast.

Denne prosessen speiler til syvende og sist PixyNetLoader-infeksjonskjeden, noe som fører til utplassering av COVENANT-rammeverkets Grunt-implantat og gir angripere vedvarende ekstern tilgang til det kompromitterte systemet.

 

Trender

Mest sett

Laster inn...