Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Vulnerabilidade CVE-2026-21509 do Microsoft Office

Vulnerabilidade CVE-2026-21509 do Microsoft Office

Por Mezo em Ameaça Persistente Avançada (APT)
Traduzir Para:

O grupo de ameaças APT28, patrocinado pelo Estado e ligado à Rússia, também rastreado como UAC-0001, foi responsabilizado por uma nova onda de ciberataques que exploram uma vulnerabilidade recentemente divulgada no Microsoft Office. A atividade é monitorada sob o nome de campanha Operação Neusploit e representa um dos primeiros casos de exploração em ambiente real após a divulgação pública da vulnerabilidade.

Pesquisadores de segurança observaram o grupo explorando a falha em 29 de janeiro de 2026, apenas três dias após a Microsoft revelar a vulnerabilidade, visando usuários na Ucrânia, Eslováquia e Romênia.

CVE-2026-21509: Uma vulnerabilidade de segurança que pode ser contornada e ter impacto no mundo real.

A vulnerabilidade explorada, CVE-2026-21509, possui uma pontuação CVSS de 7,8 e afeta o Microsoft Office. Classificada como uma falha de segurança que permite a evasão de recursos, essa falha possibilita que invasores distribuam um documento do Office especialmente criado que pode ser executado sem a devida autorização, abrindo caminho para a execução de código arbitrário como parte de uma cadeia de ataque mais ampla.

Táticas de engenharia social e evasão específicas para cada região

A campanha baseou-se fortemente em engenharia social personalizada. Documentos de isca foram elaborados em inglês, bem como em romeno, eslovaco e ucraniano, para aumentar a credibilidade entre os alvos locais. A infraestrutura de distribuição foi configurada com medidas de evasão do lado do servidor, garantindo que as cargas úteis de DLL maliciosas fossem enviadas apenas quando as solicitações se originassem das regiões geográficas pretendidas e incluíssem os cabeçalhos HTTP User-Agent esperados.

Estratégia de Dropper Duplo via Arquivos RTF Maliciosos

No cerne da operação está o uso de documentos RTF maliciosos para explorar a vulnerabilidade CVE-2026-21509 e implantar um de dois droppers, cada um com um objetivo operacional diferente. Um dropper permite o roubo de e-mails, enquanto o outro inicia uma intrusão mais complexa e em várias etapas, culminando na implantação de um sistema completo de comando e controle.

MiniDoor: Roubo direcionado de e-mails do Outlook

O primeiro dropper instala o MiniDoor, uma DLL baseada em C++ projetada para coletar dados de e-mail de pastas do Microsoft Outlook, incluindo Caixa de Entrada, Lixo Eletrônico e Rascunhos. As mensagens roubadas são exfiltradas para duas contas de e-mail controladas pelo atacante e configuradas no código:
ahmeclaw2002@outlook[.]com e ahmeclaw@proton[.]me.

O MiniDoor é considerado uma versão simplificada do NotDoor (também conhecido como GONEPOSTAL), uma ferramenta previamente documentada em setembro de 2025.

PixyNetLoader e a Cadeia de Implantes Covenant

O segundo dropper, conhecido como PixyNetLoader, facilita uma sequência de ataque significativamente mais avançada. Ele extrai componentes embutidos e estabelece persistência por meio do sequestro de objetos COM. Entre os arquivos extraídos estão um carregador de shellcode chamado EhStoreShell.dll e uma imagem PNG rotulada como SplashScreen.png.

A função do carregador é extrair o shellcode oculto na imagem usando esteganografia e executá-lo. Essa lógica maliciosa é ativada somente quando o ambiente hospedeiro não é identificado como uma sandbox de análise e quando a DLL é iniciada pelo explorer.exe, permanecendo inativa para evitar a detecção.

O shellcode decodificado carrega, em última instância, um assembly .NET embutido: um implante Grunt associado à estrutura de comando e controle de código aberto COVENANT. O uso anterior do Covenant Grunt pelo APT28 foi documentado em setembro de 2025 durante a Operação Phantom Net Voxel.

Continuidade Tática com a Operação Phantom Net Voxel

Embora a Operação Neusploit substitua o método de execução de macros VBA da campanha anterior por uma abordagem baseada em DLL, as técnicas subjacentes permanecem em grande parte as mesmas. Estas incluem:

  • Sequestro de COM para execução e persistência
  • mecanismos de proxy de DLL
  • Ofuscação de strings baseada em XOR
  • Incorporação esteganográfica de carregadores de shellcode e payloads do Covenant Grunt em imagens PNG.

Essa continuidade destaca a preferência do APT28 por aprimorar técnicas comprovadas em vez de adotar ferramentas totalmente novas.

Alerta do CERT-UA confirma alvos mais amplos.

A campanha coincidiu com um alerta da Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT-UA), que advertiu sobre a exploração da vulnerabilidade CVE-2026-21509 pelo grupo APT28 através de documentos do Microsoft Word. A atividade teve como alvo mais de 60 endereços de e-mail ligados a autoridades executivas centrais na Ucrânia. A análise de metadados mostrou que pelo menos um documento de isca foi criado em 27 de janeiro de 2026, reforçando a rápida operacionalização da vulnerabilidade.

Entrega baseada em WebDAV e execução da carga útil final

A análise revelou que a abertura do documento malicioso no Microsoft Office aciona uma conexão WebDAV com um recurso externo. Essa interação baixa um arquivo com um nome semelhante a um atalho, contendo código de programa incorporado, que então recupera e executa uma carga útil adicional.

Este processo, em última análise, espelha a cadeia de infecção do PixyNetLoader, levando à implantação do Grunt, componente do framework COVENANT, e concedendo aos atacantes acesso remoto persistente ao sistema comprometido.

 

Tendendo

Mais visto

Carregando...