CVE-2026-21509 माइक्रोसफ्ट अफिस जोखिम

रूससँग सम्बन्धित राज्य-प्रायोजित खतरा अभिनेता APT28, जसलाई UAC-0001 को रूपमा पनि ट्र्याक गरिएको छ, भर्खरै खुलासा गरिएको माइक्रोसफ्ट अफिस जोखिमको फाइदा उठाउँदै साइबर आक्रमणको नयाँ लहरको लागि जिम्मेवार ठहराइएको छ। यो गतिविधि अभियान नाम अपरेशन न्युस्प्लोइट अन्तर्गत ट्र्याक गरिएको छ र सार्वजनिक खुलासा पछि जंगली शोषणको प्रारम्भिक उदाहरणहरू मध्ये एक हो।

सुरक्षा अनुसन्धानकर्ताहरूले जनवरी २९, २०२६ मा, माइक्रोसफ्टले युक्रेन, स्लोभाकिया र रोमानियाभरिका प्रयोगकर्ताहरूलाई लक्षित गर्दै कमजोरी प्रकट गरेको तीन दिनपछि, समूहले त्रुटिलाई हतियार बनाएको अवलोकन गरे।

CVE-2026-21509: वास्तविक-विश्व प्रभावको साथ एक सुरक्षा सुविधा बाइपास

शोषित जोखिम, CVE-2026-21509, को CVSS स्कोर ७.८ छ र यसले माइक्रोसफ्ट अफिसलाई असर गर्छ। सुरक्षा सुविधा बाइपासको रूपमा वर्गीकृत, त्रुटिले आक्रमणकारीहरूलाई विशेष रूपमा तयार पारिएको अफिस कागजात डेलिभर गर्न अनुमति दिन्छ जुन उचित प्राधिकरण बिना ट्रिगर गर्न सकिन्छ, जसले फराकिलो आक्रमण श्रृंखलाको भागको रूपमा मनमानी कोड कार्यान्वयनको ढोका खोल्छ।

क्षेत्र-विशिष्ट सामाजिक इन्जिनियरिङ र चोरी रणनीतिहरू

अभियानले धेरै हदसम्म अनुकूलित सामाजिक इन्जिनियरिङमा भर पारेको थियो। स्थानीय लक्ष्यहरूमाझ विश्वसनीयता बढाउनको लागि लुर कागजातहरू अंग्रेजीका साथै रोमानियाली, स्लोभाक र युक्रेनी भाषामा पनि तयार पारिएको थियो। डेलिभरी पूर्वाधारलाई सर्भर-साइड चोरी उपायहरूसँग कन्फिगर गरिएको थियो, जसले गर्दा दुर्भावनापूर्ण DLL पेलोडहरू अभिप्रेत भौगोलिक क्षेत्रहरूबाट अनुरोधहरू उत्पन्न हुँदा मात्र सेवा गरिएको थियो र अपेक्षित प्रयोगकर्ता-एजेन्ट HTTP हेडरहरू समावेश गरिएको थियो।

मालिसियस RTF फाइलहरू मार्फत दोहोरो ड्रपर रणनीति

यस अपरेशनको मूलमा CVE-2026-21509 को शोषण गर्न र दुई ड्रपरहरू मध्ये एक तैनाथ गर्न दुर्भावनापूर्ण RTF कागजातहरूको प्रयोग हो, प्रत्येकले फरक परिचालन उद्देश्यलाई समर्थन गर्दछ। एउटा ड्रपरले इमेल चोरी क्षमता प्रदान गर्दछ, जबकि अर्कोले थप जटिल, बहु-चरण घुसपैठ सुरु गर्दछ जुन पूर्ण-विशेषतायुक्त कमाण्ड-एन्ड-नियन्त्रण इम्प्लान्टको तैनाथीमा परिणत हुन्छ।

मिनीडोर: लक्षित आउटलुक इमेल चोरी

पहिलो ड्रपरले MiniDoor स्थापना गर्दछ, जुन C++-आधारित DLL हो जुन माइक्रोसफ्ट आउटलुक फोल्डरहरू, जसमा इनबक्स, जंक, र ड्राफ्टहरू समावेश छन्, बाट इमेल डेटा सङ्कलन गर्न डिजाइन गरिएको हो। चोरी भएका सन्देशहरू दुई हार्ड-कोड गरिएका आक्रमणकारी-नियन्त्रित इमेल खाताहरूमा एक्सफिल्टर गरिन्छ:
ahmeclaw2002@outlook[.]com र ahmeclaw@proton[.]me।

MiniDoor लाई NotDoor (GONEPOSTAL को रूपमा पनि चिनिन्छ) को हल्का वजनको व्युत्पन्न मानिन्छ, यो उपकरण पहिले सेप्टेम्बर २०२५ मा दस्तावेज गरिएको थियो।

पिक्सीनेटलोडर र कोभेन्ट इम्प्लान्ट चेन

दोस्रो ड्रपर, जसलाई PixyNetLoader भनेर चिनिन्छ, ले उल्लेखनीय रूपमा अझ उन्नत आक्रमण अनुक्रमलाई सहज बनाउँछ। यसले एम्बेडेड कम्पोनेन्टहरू निकाल्छ र COM वस्तु अपहरण मार्फत स्थिरता स्थापित गर्दछ। निकालिएका फाइलहरूमा EhStoreShell.dll नामक शेलकोड लोडर र SplashScreen.png लेबल गरिएको PNG छवि समावेश छ।

लोडरको भूमिका स्टेगानोग्राफी प्रयोग गरेर छवि भित्र लुकेको शेलकोड निकाल्नु र यसलाई कार्यान्वयन गर्नु हो। यो दुर्भावनापूर्ण तर्क तब मात्र सक्रिय हुन्छ जब होस्ट वातावरणलाई विश्लेषण स्यान्डबक्सको रूपमा पहिचान गरिँदैन र जब DLL explorer.exe द्वारा सुरु गरिन्छ, अन्यथा पत्ता लगाउनबाट बच्न निष्क्रिय रहन्छ।

डिकोड गरिएको शेलकोडले अन्ततः एम्बेडेड .NET एसेम्बली लोड गर्छ: खुला-स्रोत COVENANT कमाण्ड-एन्ड-कन्ट्रोल फ्रेमवर्कसँग सम्बन्धित ग्रन्ट इम्प्लान्ट। APT28 को कोभ्यानन्ट ग्रन्टको पूर्व प्रयोग पहिले सेप्टेम्बर २०२५ मा अपरेशन फ्यान्टम नेट भोक्सेलको समयमा दस्तावेज गरिएको थियो।

अपरेशन फ्यान्टम नेट भोक्सेलको साथ रणनीतिक निरन्तरता

अपरेशन न्युस्प्लोइटले पहिलेको अभियानको VBA म्याक्रो कार्यान्वयन विधिलाई DLL-आधारित दृष्टिकोणले प्रतिस्थापन गरे पनि, अन्तर्निहित प्रविधिहरू धेरै हदसम्म एकरूप रहन्छन्। यसमा समावेश छन्:

• कार्यान्वयन र दृढताको लागि COM अपहरण
• DLL प्रोक्सी गर्ने संयन्त्रहरू
• XOR-आधारित स्ट्रिङ अस्पष्टता
• PNG छविहरू भित्र शेलकोड लोडरहरू र कोभेनन्ट ग्रन्ट पेलोडहरूको स्टेगानोग्राफिक इम्बेडिङ

यो निरन्तरताले पूर्णतया नयाँ उपकरणहरू अपनाउनुको सट्टा प्रमाणित ट्रेडक्राफ्ट विकास गर्न APT28 को प्राथमिकतालाई प्रकाश पार्छ।

CERT-UA चेतावनीले फराकिलो लक्ष्यीकरणको पुष्टि गर्छ

यो अभियान युक्रेनको कम्प्युटर आपतकालीन प्रतिक्रिया टोली (CERT-UA) को एक सल्लाहकारसँग मिल्दोजुल्दो थियो, जसले APT28 ले माइक्रोसफ्ट वर्ड कागजातहरू मार्फत CVE-2026-21509 को शोषण गर्ने चेतावनी दिएको थियो। यो गतिविधिले युक्रेनका केन्द्रीय कार्यकारी अधिकारीहरूसँग लिङ्क गरिएका ६० भन्दा बढी इमेल ठेगानाहरूलाई लक्षित गरेको थियो। मेटाडेटा विश्लेषणले देखाएको छ कि कम्तिमा एउटा लुर कागजात जनवरी २७, २०२६ मा सिर्जना गरिएको थियो, जसले जोखिमको द्रुत सञ्चालनलाई अझ जोड दिन्छ।

WebDAV-आधारित डेलिभरी र अन्तिम पेलोड कार्यान्वयन

विश्लेषणले पत्ता लगायो कि माइक्रोसफ्ट अफिसमा मालिसियस कागजात खोल्दा बाह्य स्रोतमा WebDAV जडान ट्रिगर हुन्छ। यो अन्तरक्रियाले इम्बेडेड प्रोग्राम कोड भएको सर्टकट-शैली नाम भएको फाइल डाउनलोड गर्छ, जसले त्यसपछि थप पेलोड पुन: प्राप्त गर्छ र कार्यान्वयन गर्छ।

यो प्रक्रियाले अन्ततः PixyNetLoader संक्रमण श्रृंखलालाई प्रतिबिम्बित गर्दछ, जसले गर्दा COVENANT फ्रेमवर्कको ग्रन्ट इम्प्लान्टको तैनाती हुन्छ र आक्रमणकारीहरूलाई सम्झौता गरिएको प्रणालीमा निरन्तर रिमोट पहुँच प्रदान गर्दछ।