Попуст за више лиценци
Тхреат Датабасе Напредна трајна претња (АПТ) Рањивост CVE-2026-21509 у Microsoft Office-у

Рањивост CVE-2026-21509 у Microsoft Office-у

До Mezo. у Напредна трајна претња (АПТ)
Преведи на:

Руски повезани актер претње APT28, који је спонзорисан од стране државе и праћен је као UAC-0001, приписан је новом таласу сајбер напада који користе недавно откривену рањивост програма Microsoft Office. Активност се прати под називом кампање „Операција Neusploit“ и означава један од најранијих случајева експлоатације у природи након јавног откривања.

Истраживачи безбедности су приметили групу како користи грешку као оружје 29. јануара 2026. године, само три дана након што је Мајкрософт открио рањивост, циљајући кориснике широм Украјине, Словачке и Румуније.

CVE-2026-21509: Заобилажење безбедносних функција са утицајем на стварни свет

Искоришћена рањивост, CVE-2026-21509, носи CVSS оцену 7,8 и утиче на Microsoft Office. Класификована као заобилажење безбедносних функција, ова мана омогућава нападачима да испоруче посебно креиран Office документ који се може покренути без одговарајућег овлашћења, отварајући врата произвољном извршавању кода као делу ширег ланца напада.

Социјални инжењеринг специфичан за регион и тактике избегавања

Кампања се у великој мери ослањала на прилагођени друштвени инжењеринг. Документи мамаца су направљени на енглеском, као и на румунском, словачком и украјинском језику како би се повећао кредибилитет међу локалним циљевима. Инфраструктура испоруке је конфигурисана мерама за избегавање на страни сервера, осигуравајући да се злонамерни DLL корисни подаци служе само када захтеви потичу из жељених географских региона и садрже очекиване HTTP заглавља корисничког агента.

Стратегија двоструког дроппера путем злонамерних RTF датотека

У сржи операције је коришћење злонамерних RTF докумената за искоришћавање CVE-2026-21509 и постављање једног од два имплантата за управљање имејловима, од којих сваки подржава другачији оперативни циљ. Један имплантат за управљање имејловима пружа могућност крађе имејлова, док други покреће сложенији, вишестепени упад који кулминира постављањем потпуно функционалног имплантата за командовање и контролу.

МиниДоор: Циљана крађа имејлова из Аутлука

Први инсталатер инсталира MiniDoor, DLL заснован на C++-у, дизајниран за прикупљање података е-поште из фасцикли Microsoft Outlook-а, укључујући Пријемно сандуче, Нежељену пошту и Нацрте. Украдене поруке се пребацују на два чврсто кодирана имејл налога којима управља нападач:
ahmeclaw2002@outlook[.]com и ahmeclaw@proton[.]me.

Процењује се да је MiniDoor лагани дериват алата NotDoor (такође познатог као GONEPOSTAL), који је претходно документован у септембру 2025. године.

PixyNetLoader и ланац имплантата Завета

Други дропер, познат као PixyNetLoader, олакшава знатно напреднију секвенцу напада. Он издваја уграђене компоненте и успоставља перзистентност путем отмице COM објеката. Међу издвојеним датотекама су учитавач шелкода под називом EhStoreShell.dll и PNG слика са ознаком SplashScreen.png.

Улога учитавача је да издвоји шелкод скривен унутар слике користећи стеганографију и да га изврши. Ова злонамерна логика се активира само када окружење хоста није идентификовано као „песак“ за анализу и када explorer.exe покрене DLL, у супротном остајући неактиван како би се избегло откривање.

Декодирани шелкод на крају учитава уграђени .NET склоп: имплантат Grunt повезан са оквиром командовања и контроле отвореног кода COVENANT. Претходна употреба Covenant Grunt-а од стране APT28 је претходно документована у септембру 2025. године током операције Phantom Net Voxel.

Тактички континуитет са операцијом Фантомска мрежа Воксел

Иако операција Neusploit замењује метод извршавања VBA макроа из раније кампање приступом заснованим на DLL-у, основне технике остају углавном доследне. То укључује:

  • Отимање COM-а ради извршавања и упорности
  • Механизми за проксирање DLL-ова
  • Заобличавање стрингова засновано на XOR-у
  • Стеганографско уграђивање шелл-код учитавача и Ковенант Грунт корисних података унутар PNG слика

Овај континуитет истиче склоност APT28 ка развоју проверених занатских вештина, уместо усвајања потпуно нових алата.

Упозорење CERT-UA потврђује шире циљање

Кампања се поклопила са упозорењем Украјинског тима за реаговање на рачунарске ванредне ситуације (CERT-UA), који је упозорио на APT28 који искоришћава CVE-2026-21509 путем Microsoft Word докумената. Активност је усмерена на више од 60 имејл адреса повезаних са централним извршним органима у Украјини. Анализа метаподатака показала је да је најмање један документ мамац креиран 27. јануара 2026. године, што додатно наглашава брзу операционализацију рањивости.

Испорука заснована на WebDAV-у и коначно извршавање корисног терета

Анализа је открила да отварање злонамерног документа у Microsoft Office-у покреће WebDAV везу са спољним ресурсом. Ова интеракција преузима датотеку са именом у облику пречице која садржи уграђени програмски код, који затим преузима и извршава додатни корисни терет.

Овај процес на крају одражава ланац инфекције PixyNetLoader-ом, што доводи до распоређивања Grunt имплантата COVENANT оквира и омогућава нападачима стални даљински приступ компромитованом систему.

 

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
26,767
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...