Уязвимость CVE-2026-21509 в Microsoft Office
Связанная с Россией государственная кибергруппировка APT28, также известная как UAC-0001, причастна к новой волне кибератак, использующих недавно обнаруженную уязвимость в Microsoft Office. Эта деятельность отслеживается под названием Operation Neusploit и является одним из первых случаев использования уязвимости в реальных условиях после ее публичного раскрытия.
Исследователи в области безопасности заметили, что группа злоумышленников начала использовать уязвимость в качестве оружия 29 января 2026 года, всего через три дня после того, как Microsoft сообщила об уязвимости, атакуя пользователей в Украине, Словакии и Румынии.
Оглавление
CVE-2026-21509: Обход функции безопасности с реальными последствиями.
Уязвимость, используемая злоумышленниками, CVE-2026-21509, имеет оценку CVSS 7,8 и затрагивает Microsoft Office. Классифицируемая как обход функций безопасности, эта уязвимость позволяет злоумышленникам доставлять специально созданный документ Office, который может быть запущен без надлежащей авторизации, открывая путь для выполнения произвольного кода в рамках более широкой цепочки атак.
Региональные методы социальной инженерии и тактики уклонения
Кампания в значительной степени опиралась на целенаправленную социальную инженерию. Были созданы приманки на английском, а также румынском, словацком и украинском языках, чтобы повысить доверие к ней среди местных целевых групп. Инфраструктура доставки была настроена с использованием мер обхода на стороне сервера, обеспечивая доставку вредоносных DLL-файлов только тогда, когда запросы поступали из целевых географических регионов и содержали ожидаемые HTTP-заголовки User-Agent.
Стратегия двойного загрузчика через вредоносные RTF-файлы
В основе операции лежит использование вредоносных RTF-документов для эксплуатации уязвимости CVE-2026-21509 и развертывания одного из двух дропперов, каждый из которых поддерживает различную оперативную цель. Один дроппер обеспечивает возможность кражи электронной почты, а другой инициирует более сложную многоэтапную атаку, кульминацией которой является развертывание полнофункционального модуля управления и контроля.
MiniDoor: Целенаправленная кража электронной почты Outlook
Первый вредоносный код устанавливает MiniDoor, DLL-библиотеку на C++, предназначенную для сбора данных электронной почты из папок Microsoft Outlook, включая «Входящие», «Спам» и «Черновики». Украденные сообщения передаются на два жестко закодированных, контролируемых злоумышленником почтовых аккаунта:
ahmeclaw2002@outlook[.]com и ahmeclaw@proton[.]me.
По оценкам, MiniDoor представляет собой облегченную версию NotDoor (также известного как GONEPOSTAL), инструмента, ранее описанного в сентябре 2025 года.
PixyNetLoader и цепочка имплантатов Covenant
Второй загрузчик, известный как PixyNetLoader, обеспечивает значительно более сложную последовательность атак. Он извлекает встроенные компоненты и обеспечивает постоянное присутствие в системе за счет перехвата COM-объектов. Среди извлеченных файлов — загрузчик шеллкода под названием EhStoreShell.dll и изображение в формате PNG с именем SplashScreen.png.
Задача загрузчика — извлечь скрытый в образе шеллкод с помощью стеганографии и выполнить его. Эта вредоносная логика активируется только тогда, когда среда хоста не идентифицирована как аналитическая песочница и когда DLL-файл запускается программой explorer.exe; в противном случае он остается в спящем режиме, чтобы избежать обнаружения.
Расшифрованный шеллкод в конечном итоге загружает встроенную сборку .NET: имплантат Grunt, связанный с открытой системой управления и контроля COVENANT. Использование APT28 системы Covenant Grunt было ранее задокументировано в сентябре 2025 года во время операции Phantom Net Voxel.
Тактическая преемственность в рамках операции «Фантомная сеть Воксель»
Хотя в рамках операции Neusploit метод выполнения макросов VBA, использовавшийся в предыдущей кампании, заменен подходом на основе DLL, основные методы в значительной степени остались прежними. К ним относятся:
- Перехват COM-пакета для выполнения и сохранения данных.
- механизмы проксирования DLL
- Обфускация строк на основе операции XOR
- Стеганографическое встраивание загрузчиков шеллкода и полезных нагрузок Covenant Grunt в изображения PNG.
Эта преемственность подчеркивает предпочтение APT28 к развитию проверенных методов работы, а не к внедрению совершенно новых инструментов.
Предупреждение CERT-UA подтверждает более широкий охват целевой аудитории.
Кампания совпала с предупреждением Группы реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA), которая сообщила об использовании уязвимости CVE-2026-21509 группой APT28 через документы Microsoft Word. Атака была направлена на более чем 60 адресов электронной почты, связанных с центральными органами исполнительной власти Украины. Анализ метаданных показал, что как минимум один документ-приманка был создан 27 января 2026 года, что еще раз подчеркивает быстрое внедрение уязвимости в практику.
Доставка и окончательное выполнение полезной нагрузки на основе WebDAV
Анализ показал, что открытие вредоносного документа в Microsoft Office запускает WebDAV-соединение с внешним ресурсом. В результате этого взаимодействия загружается файл с именем, похожим на ярлык, содержащий встроенный программный код, который затем извлекает и выполняет дополнительную полезную нагрузку.
Этот процесс в конечном итоге повторяет цепочку заражения PixyNetLoader, приводя к развертыванию импланта Grunt, созданного в рамках COVENANT, и предоставляя злоумышленникам постоянный удаленный доступ к скомпрометированной системе.
