Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) Ranljivost sistema Microsoft Office CVE-2026-21509

Ranljivost sistema Microsoft Office CVE-2026-21509

Do leta Mezo leta Napredna trajna grožnja (APT)
Prevedi v:

Z Rusijo povezani in državno sponzorirani akter grožnje APT28, ki ga spremljajo tudi kot UAC-0001, so pripisali novemu valu kibernetskih napadov, ki izkoriščajo na novo razkrito ranljivost Microsoft Officea. Dejavnost se spremlja pod imenom kampanje Operation Neusploit in označuje enega najzgodnejših primerov izkoriščanja v naravi po javnem razkritju.

Varnostni raziskovalci so skupino opazili, kako je 29. januarja 2026, le tri dni po tem, ko je Microsoft razkril ranljivost, uporabila kot orožje, pri čemer je ciljala na uporabnike po Ukrajini, Slovaški in Romuniji.

CVE-2026-21509: Obhod varnostnih funkcij z resničnim vplivom

Izkoriščena ranljivost CVE-2026-21509 ima oceno CVSS 7,8 in vpliva na Microsoft Office. Napaka, ki je razvrščena kot obhod varnostnih funkcij, napadalcem omogoča dostavo posebej izdelanega dokumenta sistema Office, ki ga je mogoče sprožiti brez ustreznega dovoljenja, kar odpira vrata izvajanju poljubne kode kot del širše verige napadov.

Regionalno specifičen socialni inženiring in taktike izogibanja

Kampanja se je močno zanašala na prilagojen socialni inženiring. Vabljivi dokumenti so bili oblikovani v angleščini, romunščini, slovaščini in ukrajinščini, da bi povečali verodostojnost med lokalnimi cilji. Dostavna infrastruktura je bila konfigurirana z ukrepi za izogibanje na strani strežnika, kar je zagotavljalo, da so bili zlonamerni koristni tokovi DLL obdelani le, če so zahteve izvirale iz želenih geografskih regij in so vsebovale pričakovane glave HTTP uporabniškega agenta.

Strategija dvojnega kapljalnika prek zlonamernih datotek RTF

V jedru operacije je uporaba zlonamernih dokumentov RTF za izkoriščanje kriptovalute CVE-2026-21509 in namestitev enega od dveh vdornih sistemov, od katerih vsak podpira drugačen operativni cilj. En vdorni sistem omogoča krajo e-pošte, drugi pa sproži bolj zapleten, večstopenjski vdor, ki se zaključi z namestitvijo celovitega sistema za upravljanje in nadzor.

MiniDoor: Ciljana krajo e-pošte v Outlooku

Prvi napadalec namesti MiniDoor, DLL, ki temelji na C++ in je zasnovan za zbiranje e-poštnih podatkov iz map Microsoft Outlook, vključno s Prejeto, Neželeno pošto in Osnutki. Ukradena sporočila se prenesejo na dva trdo kodirana e-poštna računa, ki ju nadzoruje napadalec:
ahmeclaw2002@outlook[.]com in ahmeclaw@proton[.]me.

MiniDoor naj bi bil lahka izpeljanka orodja NotDoor (znanega tudi kot GONEPOSTAL), ki je bilo predhodno dokumentirano septembra 2025.

PixyNetLoader in veriga vsadkov Covenant

Drugi odlagalnik, znan kot PixyNetLoader, omogoča bistveno naprednejše zaporedje napadov. Izvleče vdelane komponente in vzpostavi obstojnost z ugrabitvijo objektov COM. Med izvlečenimi datotekami sta nalagalnik shellcode z imenom EhStoreShell.dll in slika PNG z oznako SplashScreen.png.

Naloga nalagalnika je, da s steganografijo izvleče shellcode, skrito v sliki, in jo izvede. Ta zlonamerna logika se aktivira le, če gostiteljsko okolje ni prepoznano kot peskovnik za analizo in če explorer.exe zažene DLL, sicer pa ostane nedejavna, da se izogne odkritju.

Dekodirana lupinska koda na koncu naloži vgrajeni sklop .NET: vsadek Grunt, povezan z odprtokodnim ogrodjem za upravljanje in nadzor COVENANT. Predhodna uporaba Covenant Grunta s strani APT28 je bila dokumentirana septembra 2025 med operacijo Phantom Net Voxel.

Taktična kontinuiteta z operacijo Phantom Net Voxel

Čeprav operacija Neusploit nadomešča metodo izvajanja makrov VBA iz prejšnje kampanje s pristopom, ki temelji na DLL, osnovne tehnike ostajajo v veliki meri dosledne. Te vključujejo:

  • Ugrabitev COM-a za izvajanje in vztrajnost
  • Mehanizmi posredovanja DLL
  • Zakrivanje nizov na osnovi XOR
  • Steganografsko vdelavo nalagalnikov shellcode in koristnih tovorov Covenant Grunt v slike PNG

Ta kontinuiteta poudarja, da APT28 daje prednost razvoju preizkušenih obrtnih veščin namesto sprejemanju povsem novega orodja.

Opozorilo CERT-UA potrjuje širše ciljanje

Kampanja je sovpadala z opozorilom Ukrajinske skupine za odzivanje na računalniške izredne razmere (CERT-UA), ki je opozorila na APT28, ki izkorišča CVE-2026-21509 prek dokumentov Microsoft Word. Dejavnost je bila usmerjena na več kot 60 e-poštnih naslovov, povezanih s centralnimi izvršilnimi organi v Ukrajini. Analiza metapodatkov je pokazala, da je bil 27. januarja 2026 ustvarjen vsaj en dokument z vabo, kar še dodatno poudarja hitro operacionalizacijo ranljivosti.

Dostava na osnovi WebDAV in končna izvedba koristnega tovora

Analiza je pokazala, da odpiranje zlonamernega dokumenta v programu Microsoft Office sproži povezavo WebDAV z zunanjim virom. Ta interakcija prenese datoteko z imenom, ki spominja na bližnjico in vsebuje vdelano programsko kodo, ki nato pridobi in izvede dodatno koristno vsebino.

Ta postopek na koncu odraža verigo okužbe PixyNetLoader, kar vodi do namestitve vsadka Grunt ogrodja COVENANT in napadalcem omogoča stalen oddaljeni dostop do ogroženega sistema.

 

V trendu

Najbolj gledan

Nalaganje...