CVE-2026-21509 ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਕਮਜ਼ੋਰੀ

ਰੂਸ ਨਾਲ ਜੁੜੇ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਧਮਕੀ ਐਕਟਰ APT28, ਜਿਸਨੂੰ UAC-0001 ਵਜੋਂ ਵੀ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ, ਨੂੰ ਇੱਕ ਨਵੀਂ ਪ੍ਰਗਟ ਕੀਤੀ ਗਈ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਕਮਜ਼ੋਰੀ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹੋਏ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਨਵੀਂ ਲਹਿਰ ਦਾ ਕਾਰਨ ਮੰਨਿਆ ਗਿਆ ਹੈ। ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ਮੁਹਿੰਮ ਨਾਮ ਓਪਰੇਸ਼ਨ ਨਿਊਸਪਲੋਇਟ ਦੇ ਤਹਿਤ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਜਨਤਕ ਖੁਲਾਸੇ ਤੋਂ ਬਾਅਦ ਜੰਗਲੀ ਸ਼ੋਸ਼ਣ ਦੇ ਸ਼ੁਰੂਆਤੀ ਉਦਾਹਰਣਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ।

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ 29 ਜਨਵਰੀ, 2026 ਨੂੰ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੁਆਰਾ ਕਮਜ਼ੋਰੀ ਦਾ ਖੁਲਾਸਾ ਕਰਨ ਤੋਂ ਸਿਰਫ਼ ਤਿੰਨ ਦਿਨ ਬਾਅਦ, ਯੂਕਰੇਨ, ਸਲੋਵਾਕੀਆ ਅਤੇ ਰੋਮਾਨੀਆ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ, ਸਮੂਹ ਨੂੰ ਇਸ ਨੁਕਸ ਨੂੰ ਹਥਿਆਰ ਵਜੋਂ ਵਰਤਦੇ ਦੇਖਿਆ।

CVE-2026-21509: ਅਸਲ-ਸੰਸਾਰ ਪ੍ਰਭਾਵ ਦੇ ਨਾਲ ਇੱਕ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾ ਬਾਈਪਾਸ

ਸ਼ੋਸ਼ਣ ਕੀਤੀ ਗਈ ਕਮਜ਼ੋਰੀ, CVE-2026-21509, ਦਾ CVSS ਸਕੋਰ 7.8 ਹੈ ਅਤੇ ਇਹ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾ ਬਾਈਪਾਸ ਦੇ ਤੌਰ 'ਤੇ ਸ਼੍ਰੇਣੀਬੱਧ, ਇਹ ਨੁਕਸ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਆਫਿਸ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਦਾਨ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਜਿਸਨੂੰ ਸਹੀ ਅਧਿਕਾਰ ਤੋਂ ਬਿਨਾਂ ਚਾਲੂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਇੱਕ ਵਿਸ਼ਾਲ ਹਮਲਾ ਲੜੀ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਮਨਮਾਨੇ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦਾ ਦਰਵਾਜ਼ਾ ਖੋਲ੍ਹਦਾ ਹੈ।

ਖੇਤਰ-ਵਿਸ਼ੇਸ਼ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ

ਇਹ ਮੁਹਿੰਮ ਬਹੁਤ ਜ਼ਿਆਦਾ ਤਿਆਰ ਕੀਤੀ ਗਈ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਸੀ। ਸਥਾਨਕ ਟੀਚਿਆਂ ਵਿੱਚ ਭਰੋਸੇਯੋਗਤਾ ਵਧਾਉਣ ਲਈ ਅੰਗਰੇਜ਼ੀ ਦੇ ਨਾਲ-ਨਾਲ ਰੋਮਾਨੀਅਨ, ਸਲੋਵਾਕ ਅਤੇ ਯੂਕਰੇਨੀ ਵਿੱਚ ਲੁਰ ਦਸਤਾਵੇਜ਼ ਤਿਆਰ ਕੀਤੇ ਗਏ ਸਨ। ਡਿਲੀਵਰੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਸਰਵਰ-ਸਾਈਡ ਚੋਰੀ ਦੇ ਉਪਾਵਾਂ ਨਾਲ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹੋਏ ਕਿ ਖਤਰਨਾਕ DLL ਪੇਲੋਡ ਸਿਰਫ਼ ਉਦੋਂ ਹੀ ਸੇਵਾ ਕੀਤੇ ਗਏ ਸਨ ਜਦੋਂ ਬੇਨਤੀਆਂ ਇੱਛਤ ਭੂਗੋਲਿਕ ਖੇਤਰਾਂ ਤੋਂ ਆਈਆਂ ਸਨ ਅਤੇ ਸੰਭਾਵਿਤ ਉਪਭੋਗਤਾ-ਏਜੰਟ HTTP ਹੈਡਰ ਸ਼ਾਮਲ ਸਨ।

ਖਤਰਨਾਕ RTF ਫਾਈਲਾਂ ਰਾਹੀਂ ਦੋਹਰੀ ਡਰਾਪਰ ਰਣਨੀਤੀ

ਇਸ ਕਾਰਵਾਈ ਦੇ ਮੂਲ ਵਿੱਚ CVE-2026-21509 ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਅਤੇ ਦੋ ਡਰਾਪਰਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਖਤਰਨਾਕ RTF ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਵਰਤੋਂ ਹੈ, ਹਰ ਇੱਕ ਵੱਖਰੇ ਸੰਚਾਲਨ ਉਦੇਸ਼ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਇੱਕ ਡਰਾਪਰ ਇੱਕ ਈਮੇਲ ਚੋਰੀ ਸਮਰੱਥਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਦੂਜਾ ਇੱਕ ਵਧੇਰੇ ਗੁੰਝਲਦਾਰ, ਬਹੁ-ਪੜਾਵੀ ਘੁਸਪੈਠ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ ਪੂਰੇ-ਵਿਸ਼ੇਸ਼ਤਾ ਵਾਲੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਇਮਪਲਾਂਟ ਦੀ ਤੈਨਾਤੀ ਵਿੱਚ ਸਮਾਪਤ ਹੁੰਦਾ ਹੈ।

ਮਿੰਨੀਡੋਰ: ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਆਉਟਲੁੱਕ ਈਮੇਲ ਚੋਰੀ

ਪਹਿਲਾ ਡਰਾਪਰ MiniDoor ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ, ਇੱਕ C++-ਅਧਾਰਿਤ DLL ਜੋ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਉਟਲੁੱਕ ਫੋਲਡਰਾਂ ਤੋਂ ਈਮੇਲ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਇਨਬਾਕਸ, ਜੰਕ ਅਤੇ ਡਰਾਫਟ ਸ਼ਾਮਲ ਹਨ। ਚੋਰੀ ਹੋਏ ਸੁਨੇਹੇ ਦੋ ਹਾਰਡ-ਕੋਡਿਡ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਈਮੇਲ ਖਾਤਿਆਂ ਵਿੱਚ ਭੇਜੇ ਜਾਂਦੇ ਹਨ:
ahmeclaw2002@outlook[.]com ਅਤੇ ahmeclaw@proton[.]me.

ਮਿਨੀਡੋਰ ਨੂੰ ਨੌਟਡੋਰ (ਜਿਸਨੂੰ ਗੋਨੇਪੋਸਟਲ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦਾ ਇੱਕ ਹਲਕਾ ਡੈਰੀਵੇਟਿਵ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਇਹ ਇੱਕ ਟੂਲ ਹੈ ਜੋ ਪਹਿਲਾਂ ਸਤੰਬਰ 2025 ਵਿੱਚ ਦਸਤਾਵੇਜ਼ੀ ਰੂਪ ਵਿੱਚ ਦਰਜ ਕੀਤਾ ਗਿਆ ਸੀ।

ਪਿਕਸੀਨੈੱਟਲੋਡਰ ਅਤੇ ਕੋਵੈਂਟ ਇਮਪਲਾਂਟ ਚੇਨ

ਦੂਜਾ ਡਰਾਪਰ, ਜਿਸਨੂੰ PixyNetLoader ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵਧੇਰੇ ਉੱਨਤ ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ। ਇਹ ਏਮਬੈਡਡ ਕੰਪੋਨੈਂਟਸ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਦਾ ਹੈ ਅਤੇ COM ਆਬਜੈਕਟ ਹਾਈਜੈਕਿੰਗ ਰਾਹੀਂ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਐਕਸਟਰੈਕਟ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਵਿੱਚ EhStoreShell.dll ਨਾਮਕ ਇੱਕ ਸ਼ੈੱਲਕੋਡ ਲੋਡਰ ਅਤੇ SplashScreen.png ਲੇਬਲ ਵਾਲਾ ਇੱਕ PNG ਚਿੱਤਰ ਸ਼ਾਮਲ ਹੈ।

ਲੋਡਰ ਦੀ ਭੂਮਿਕਾ ਸਟੈਗਨੋਗ੍ਰਾਫੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਚਿੱਤਰ ਦੇ ਅੰਦਰ ਲੁਕੇ ਹੋਏ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਕੱਢਣਾ ਅਤੇ ਇਸਨੂੰ ਚਲਾਉਣਾ ਹੈ। ਇਹ ਖਤਰਨਾਕ ਤਰਕ ਸਿਰਫ਼ ਉਦੋਂ ਹੀ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਹੋਸਟ ਵਾਤਾਵਰਣ ਨੂੰ ਵਿਸ਼ਲੇਸ਼ਣ ਸੈਂਡਬੌਕਸ ਵਜੋਂ ਪਛਾਣਿਆ ਨਹੀਂ ਜਾਂਦਾ ਹੈ ਅਤੇ ਜਦੋਂ DLL ਨੂੰ explorer.exe ਦੁਆਰਾ ਲਾਂਚ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਨਹੀਂ ਤਾਂ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਸੁਸਤ ਰਹਿੰਦਾ ਹੈ।

ਡੀਕੋਡ ਕੀਤਾ ਸ਼ੈੱਲਕੋਡ ਅੰਤ ਵਿੱਚ ਇੱਕ ਏਮਬੈਡਡ .NET ਅਸੈਂਬਲੀ ਲੋਡ ਕਰਦਾ ਹੈ: ਓਪਨ-ਸੋਰਸ COVENANT ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਫਰੇਮਵਰਕ ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਗ੍ਰੰਟ ਇਮਪਲਾਂਟ। APT28 ਦੁਆਰਾ Covenant Grunt ਦੀ ਪਹਿਲਾਂ ਵਰਤੋਂ ਪਹਿਲਾਂ ਸਤੰਬਰ 2025 ਵਿੱਚ ਓਪਰੇਸ਼ਨ ਫੈਂਟਮ ਨੈੱਟ ਵੌਕਸਲ ਦੌਰਾਨ ਦਸਤਾਵੇਜ਼ੀ ਤੌਰ 'ਤੇ ਦਰਜ ਕੀਤੀ ਗਈ ਸੀ।

ਓਪਰੇਸ਼ਨ ਫੈਂਟਮ ਨੈੱਟ ਵੌਕਸਲ ਨਾਲ ਰਣਨੀਤਕ ਨਿਰੰਤਰਤਾ

ਜਦੋਂ ਕਿ ਓਪਰੇਸ਼ਨ ਨਿਊਸਪਲੋਇਟ ਪਹਿਲਾਂ ਵਾਲੀ ਮੁਹਿੰਮ ਦੇ VBA ਮੈਕਰੋ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਿਧੀ ਨੂੰ DLL-ਅਧਾਰਿਤ ਪਹੁੰਚ ਨਾਲ ਬਦਲਦਾ ਹੈ, ਪਰ ਅੰਡਰਲਾਈੰਗ ਤਕਨੀਕਾਂ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਇਕਸਾਰ ਰਹਿੰਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• COM ਹਾਈਜੈਕਿੰਗ ਨੂੰ ਲਾਗੂ ਕਰਨ ਅਤੇ ਦ੍ਰਿੜਤਾ ਨਾਲ ਚਲਾਉਣ ਲਈ
• DLL ਪ੍ਰੌਕਸੀ ਵਿਧੀਆਂ
• XOR-ਅਧਾਰਿਤ ਸਟ੍ਰਿੰਗ ਔਫਸਕੇਸ਼ਨ
• PNG ਚਿੱਤਰਾਂ ਦੇ ਅੰਦਰ ਸ਼ੈੱਲਕੋਡ ਲੋਡਰਾਂ ਅਤੇ ਕੋਵੈਂਟ ਗ੍ਰੰਟ ਪੇਲੋਡਾਂ ਦੀ ਸਟੈਗਨੋਗ੍ਰਾਫਿਕ ਏਮਬੈਡਿੰਗ

ਇਹ ਨਿਰੰਤਰਤਾ APT28 ਦੀ ਪੂਰੀ ਤਰ੍ਹਾਂ ਨਵੇਂ ਟੂਲਿੰਗ ਨੂੰ ਅਪਣਾਉਣ ਦੀ ਬਜਾਏ ਸਾਬਤ ਹੋਏ ਟ੍ਰੇਡਕ੍ਰਾਫਟ ਨੂੰ ਵਿਕਸਤ ਕਰਨ ਦੀ ਤਰਜੀਹ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।

CERT-UA ਚੇਤਾਵਨੀ ਵਿਆਪਕ ਨਿਸ਼ਾਨਾਬੰਦੀ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੀ ਹੈ

ਇਹ ਮੁਹਿੰਮ ਯੂਕਰੇਨ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ (CERT-UA) ਦੀ ਇੱਕ ਸਲਾਹ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਸੀ, ਜਿਸ ਵਿੱਚ APT28 ਵੱਲੋਂ Microsoft Word ਦਸਤਾਵੇਜ਼ਾਂ ਰਾਹੀਂ CVE-2026-21509 ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਨ ਦੀ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਗਈ ਸੀ। ਇਸ ਗਤੀਵਿਧੀ ਨੇ ਯੂਕਰੇਨ ਵਿੱਚ ਕੇਂਦਰੀ ਕਾਰਜਕਾਰੀ ਅਧਿਕਾਰੀਆਂ ਨਾਲ ਜੁੜੇ 60 ਤੋਂ ਵੱਧ ਈਮੇਲ ਪਤਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ। ਮੈਟਾਡੇਟਾ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਦਿਖਾਇਆ ਕਿ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਲੂਰ ਦਸਤਾਵੇਜ਼ 27 ਜਨਵਰੀ, 2026 ਨੂੰ ਬਣਾਇਆ ਗਿਆ ਸੀ, ਜੋ ਕਮਜ਼ੋਰੀ ਦੇ ਤੇਜ਼ੀ ਨਾਲ ਸੰਚਾਲਨ ਨੂੰ ਹੋਰ ਵੀ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।

WebDAV-ਅਧਾਰਿਤ ਡਿਲੀਵਰੀ ਅਤੇ ਅੰਤਿਮ ਪੇਲੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ

ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਵਿੱਚ ਖਤਰਨਾਕ ਦਸਤਾਵੇਜ਼ ਖੋਲ੍ਹਣ ਨਾਲ ਇੱਕ ਬਾਹਰੀ ਸਰੋਤ ਨਾਲ WebDAV ਕਨੈਕਸ਼ਨ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ। ਇਹ ਇੰਟਰੈਕਸ਼ਨ ਇੱਕ ਸ਼ਾਰਟਕੱਟ-ਸ਼ੈਲੀ ਨਾਮ ਵਾਲੀ ਇੱਕ ਫਾਈਲ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਏਮਬੈਡਡ ਪ੍ਰੋਗਰਾਮ ਕੋਡ ਹੁੰਦਾ ਹੈ, ਜੋ ਫਿਰ ਇੱਕ ਵਾਧੂ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਚਲਾਉਂਦਾ ਹੈ।

ਇਹ ਪ੍ਰਕਿਰਿਆ ਅੰਤ ਵਿੱਚ PixyNetLoader ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ COVENANT ਫਰੇਮਵਰਕ ਦੇ Grunt ਇਮਪਲਾਂਟ ਦੀ ਤੈਨਾਤੀ ਹੁੰਦੀ ਹੈ ਅਤੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਤੱਕ ਨਿਰੰਤਰ ਰਿਮੋਟ ਪਹੁੰਚ ਮਿਲਦੀ ਹੈ।