Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) CVE-2026-21509 Sårbarhet i Microsoft Office

CVE-2026-21509 Sårbarhet i Microsoft Office

Med Mezo år Advanced Persistent Threat (APT)
Översätt till:

Den Rysslandskopplade statssponsrade hotaktören APT28, även spårad som UAC-0001, har tillskrivits en ny våg av cyberattacker som utnyttjar en nyligen avslöjad sårbarhet i Microsoft Office. Aktiviteten spåras under kampanjnamnet Operation Neusploit och markerar ett av de tidigaste fallen av exploatering i det vilda efter att den offentliggjorts.

Säkerhetsforskare observerade gruppen som utnyttjade bristen som ett vapen den 29 januari 2026, bara tre dagar efter att Microsoft avslöjade sårbarheten, som riktade sig mot användare i Ukraina, Slovakien och Rumänien.

CVE-2026-21509: En kringgående säkerhetsfunktion med verklig påverkan

Den utnyttjade sårbarheten, CVE-2026-21509, har en CVSS-poäng på 7,8 och påverkar Microsoft Office. Fejlen, som klassificeras som en säkerhetsfunktionsförbigång, gör det möjligt för angripare att leverera ett specialutformat Office-dokument som kan utlösas utan korrekt auktorisering, vilket öppnar dörren för godtycklig kodkörning som en del av en bredare attackkedja.

Regionspecifik social ingenjörskonst och undanflyktstaktik

Kampanjen förlitade sig i hög grad på skräddarsydd social ingenjörskonst. Lockelsedokument utformades på engelska samt rumänska, slovakiska och ukrainska för att öka trovärdigheten bland lokala mål. Leveransinfrastrukturen konfigurerades med serversidesundangripande åtgärder, vilket säkerställde att skadliga DLL-nyttolaster endast levererades när förfrågningar kom från avsedda geografiska regioner och inkluderade de förväntade User-Agent HTTP-rubrikerna.

Dubbel dropperstrategi via skadliga RTF-filer

Kärnan i operationen är användningen av skadliga RTF-dokument för att utnyttja CVE-2026-21509 och driftsätta en av två dropper-program, som var och en stöder ett annat operativt mål. En dropper levererar en e-poststöldkapacitet, medan den andra initierar ett mer komplext intrång i flera steg som kulminerar i driftsättningen av ett fullfjädrat kommando- och kontrollimplantat.

MiniDoor: Riktad e-poststöld i Outlook

Den första droppern installerar MiniDoor, en C++-baserad DLL utformad för att samla in e-postdata från Microsoft Outlook-mappar, inklusive Inkorg, Skräppost och Utkast. De stulna meddelandena exfiltreras till två hårdkodade angriparkontrollerade e-postkonton:
ahmeclaw2002@outlook[.]com och ahmeclaw@proton[.]me.

MiniDoor bedöms vara en lättviktsvariant av NotDoor (även känd som GONEPOSTAL), ett verktyg som tidigare dokumenterades i september 2025.

PixyNetLoader och Covenant Implant Chain

Den andra droppern, känd som PixyNetLoader, möjliggör en betydligt mer avancerad attacksekvens. Den extraherar inbäddade komponenter och etablerar persistens genom COM-objektkapning. Bland de extraherade filerna finns en shellcode-laddare med namnet EhStoreShell.dll och en PNG-bild med namnet SplashScreen.png.

Laddarens roll är att extrahera skalkod som är dold i bilden med hjälp av steganografi och köra den. Denna skadliga logik aktiveras endast när värdmiljön inte identifieras som en analysandlåda och när DLL-filen startas av explorer.exe, annars förblir den vilande för att undvika upptäckt.

Den avkodade skalkoden laddar slutligen en inbäddad .NET-assembling: ett Grunt-implantat associerat med det öppna källkodsramverket COVENANT för kommando- och kontroll. APT28:s tidigare användning av Covenant Grunt dokumenterades tidigare i september 2025 under Operation Phantom Net Voxel.

Taktisk kontinuitet med Operation Phantom Net Voxel

Även om Operation Neusploit ersätter den tidigare kampanjens VBA-makrokörningsmetod med en DLL-baserad metod, förblir de underliggande teknikerna i stort sett desamma. Dessa inkluderar:

  • COM-kapning för exekvering och persistens
  • DLL-proxymekanismer
  • XOR-baserad strängförvirring
  • Steganografisk inbäddning av shellcode-laddare och Covenant Grunt-nyttolaster i PNG-bilder

Denna kontinuitet belyser APT28s preferens för att utveckla beprövade hantverk snarare än att anta helt nya verktyg.

CERT-UA-varning bekräftar bredare målgruppsanpassning

Kampanjen sammanföll med en rekommendation från Ukrainas Computer Emergency Response Team (CERT-UA), som varnade för att APT28 utnyttjade CVE-2026-21509 via Microsoft Word-dokument. Aktiviteten riktade sig mot fler än 60 e-postadresser kopplade till centrala verkställande myndigheter i Ukraina. Metadataanalys visade att minst ett lockdokument skapades den 27 januari 2026, vilket ytterligare understryker den snabba operationaliseringen av sårbarheten.

WebDAV-baserad leverans och slutlig nyttolastkörning

Analysen visade att öppnandet av det skadliga dokumentet i Microsoft Office utlöser en WebDAV-anslutning till en extern resurs. Denna interaktion laddar ner en fil med ett genvägsliknande namn som innehåller inbäddad programkod, som sedan hämtar och kör ytterligare en nyttolast.

Denna process speglar i slutändan PixyNetLoader-infektionskedjan, vilket leder till distributionen av COVENANT-ramverkets Grunt-implantat och ger angripare permanent fjärråtkomst till det komprometterade systemet.

 

Trendigt

Mest sedda

Läser in...