CVE-2026-21509 ช่องโหว่ของ Microsoft Office

กลุ่มแฮกเกอร์ APT28 ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งติดตามได้ในรหัส UAC-0001 ถูกกล่าวหาว่าอยู่เบื้องหลังการโจมตีทางไซเบอร์ระลอกใหม่ โดยใช้ช่องโหว่ของ Microsoft Office ที่เพิ่งถูกเปิดเผย การโจมตีครั้งนี้ใช้ชื่อปฏิบัติการว่า Operation Neusploit และถือเป็นหนึ่งในกรณีแรกๆ ของการโจมตีที่เกิดขึ้นจริงหลังจากมีการเปิดเผยช่องโหว่สู่สาธารณะ

นักวิจัยด้านความปลอดภัยสังเกตเห็นกลุ่มดังกล่าวใช้ช่องโหว่นี้เป็นอาวุธเมื่อวันที่ 29 มกราคม 2026 เพียงสามวันหลังจากที่ Microsoft เปิดเผยช่องโหว่นี้ โดยมุ่งเป้าไปที่ผู้ใช้ในยูเครน สโลวาเกีย และโรมาเนีย

CVE-2026-21509: ช่องโหว่การหลีกเลี่ยงคุณสมบัติการรักษาความปลอดภัยที่มีผลกระทบในโลกแห่งความเป็นจริง

ช่องโหว่ที่ถูกใช้ประโยชน์ CVE-2026-21509 มีคะแนน CVSS 7.8 และส่งผลกระทบต่อ Microsoft Office ช่องโหว่นี้จัดอยู่ในประเภทการหลีกเลี่ยงคุณสมบัติการรักษาความปลอดภัย โดยอนุญาตให้ผู้โจมตีส่งเอกสาร Office ที่สร้างขึ้นเป็นพิเศษซึ่งสามารถเรียกใช้งานได้โดยไม่ต้องได้รับอนุญาตอย่างถูกต้อง เปิดช่องทางให้สามารถเรียกใช้โค้ดตามอำเภอใจได้ ซึ่งเป็นส่วนหนึ่งของห่วงโซ่การโจมตีที่กว้างขึ้น

กลยุทธ์การวิศวกรรมทางสังคมและการหลีกเลี่ยงที่เฉพาะเจาะจงในแต่ละภูมิภาค

แคมเปญนี้อาศัยเทคนิคทางสังคมที่ออกแบบมาโดยเฉพาะเป็นอย่างมาก เอกสารล่อลวงถูกสร้างขึ้นเป็นภาษาอังกฤษ รวมถึงภาษาโรมาเนีย สโลวัก และยูเครน เพื่อเพิ่มความน่าเชื่อถือในกลุ่มเป้าหมายในท้องถิ่น โครงสร้างพื้นฐานในการส่งถูกกำหนดค่าด้วยมาตรการหลบเลี่ยงฝั่งเซิร์ฟเวอร์ เพื่อให้แน่ใจว่าไฟล์ DLL ที่เป็นอันตรายจะถูกส่งเฉพาะเมื่อคำขอมาจากภูมิภาคทางภูมิศาสตร์ที่ตั้งใจไว้และมีส่วนหัว HTTP User-Agent ที่คาดหวังไว้เท่านั้น

กลยุทธ์การแพร่กระจายแบบคู่ผ่านไฟล์ RTF ที่เป็นอันตราย

หัวใจสำคัญของการปฏิบัติการนี้คือการใช้เอกสาร RTF ที่เป็นอันตรายเพื่อใช้ประโยชน์จากช่องโหว่ CVE-2026-21509 และติดตั้งโปรแกรมดักจับมัลแวร์สองตัว ซึ่งแต่ละตัวมีเป้าหมายการปฏิบัติการที่แตกต่างกัน โปรแกรมดักจับมัลแวร์ตัวหนึ่งจะทำการขโมยอีเมล ในขณะที่อีกตัวหนึ่งจะเริ่มต้นการบุกรุกที่ซับซ้อนกว่าและมีหลายขั้นตอน ซึ่งจะสิ้นสุดลงด้วยการติดตั้งโปรแกรมควบคุมและสั่งการที่มีคุณสมบัติครบถ้วน

MiniDoor: การโจรกรรมอีเมล Outlook แบบเจาะจงเป้าหมาย

โปรแกรมตัวแรกจะติดตั้ง MiniDoor ซึ่งเป็น DLL ที่เขียนด้วยภาษา C++ ออกแบบมาเพื่อเก็บรวบรวมข้อมูลอีเมลจากโฟลเดอร์ต่างๆ ของ Microsoft Outlook รวมถึงกล่องจดหมายเข้า จดหมายขยะ และจดหมายร่าง ข้อความที่ถูกขโมยจะถูกส่งออกไปยังบัญชีอีเมลสองบัญชีที่ผู้โจมตีควบคุมไว้ล่วงหน้า:
ahmeclaw2002@outlook[.]com และ ahmeclaw@proton[.]me

MiniDoor ถูกประเมินว่าเป็นเวอร์ชันที่เบากว่าของ NotDoor (หรือที่รู้จักกันในชื่อ GONEPOSTAL) ซึ่งเป็นเครื่องมือที่เคยมีการบันทึกไว้ในเดือนกันยายน 2025

PixyNetLoader และห่วงโซ่การฝัง Covenant

ตัวปล่อยมัลแวร์ตัวที่สอง ซึ่งรู้จักกันในชื่อ PixyNetLoader ช่วยให้ลำดับการโจมตีมีความซับซ้อนมากขึ้นอย่างเห็นได้ชัด มันจะดึงส่วนประกอบที่ฝังอยู่และสร้างความคงอยู่ผ่านการโจรกรรมอ็อบเจ็กต์ COM ไฟล์ที่ถูกดึงออกมานั้นรวมถึงตัวโหลดเชลล์โค้ดชื่อ EhStoreShell.dll และภาพ PNG ที่ชื่อ SplashScreen.png

หน้าที่ของตัวโหลดคือการดึงโค้ดที่เป็นอันตรายซึ่งซ่อนอยู่ภายในอิมเมจโดยใช้สเตกาโนกราฟี และเรียกใช้งานโค้ดนั้น ตรรกะที่เป็นอันตรายนี้จะทำงานก็ต่อเมื่อสภาพแวดล้อมโฮสต์ไม่ได้ถูกระบุว่าเป็นแซนด์บ็อกซ์สำหรับการวิเคราะห์ และเมื่อไฟล์ DLL ถูกเรียกใช้งานโดย explorer.exe เท่านั้น มิฉะนั้นจะทำงานในสถานะหยุดนิ่งเพื่อหลีกเลี่ยงการตรวจจับ

โค้ดที่เป็นอันตรายที่ถอดรหัสได้นั้นจะโหลดแอสเซมบลี .NET ที่ฝังอยู่ภายใน ซึ่งก็คือโปรแกรมฝังตัว Grunt ที่เชื่อมโยงกับเฟรมเวิร์กควบคุมและสั่งการแบบโอเพนซอร์ส COVENANT การใช้งาน Covenant Grunt ของ APT28 ก่อนหน้านี้ได้รับการบันทึกไว้แล้วในเดือนกันยายนปี 2025 ระหว่างปฏิบัติการ Phantom Net Voxel

ความต่อเนื่องทางยุทธวิธีด้วยปฏิบัติการ Phantom Net Voxel

แม้ว่าปฏิบัติการ Neusploit จะเปลี่ยนวิธีการเรียกใช้มาโคร VBA จากแคมเปญก่อนหน้ามาเป็นการใช้ DLL แทน แต่เทคนิคพื้นฐานยังคงคล้ายคลึงกันเป็นส่วนใหญ่ ซึ่งรวมถึง:

• การยึดครอง COM เพื่อการดำเนินการและการคงอยู่
• กลไกการพร็อกซี DLL
• การเข้ารหัสสตริงแบบ XOR
• การฝังโค้ด Shellcode และ Payload ของ Covenant Grunt ลงในภาพ PNG แบบ Steganographic

ความต่อเนื่องนี้เน้นย้ำถึงความชอบของ APT28 ในการพัฒนาเทคนิคการทำงานที่ได้รับการพิสูจน์แล้ว มากกว่าการนำเครื่องมือใหม่ทั้งหมดมาใช้

คำเตือนของ CERT-UA ยืนยันว่ามีการกำหนดเป้าหมายในวงกว้างขึ้น

แคมเปญดังกล่าวเกิดขึ้นพร้อมกับการแจ้งเตือนจากทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) ซึ่งเตือนว่ากลุ่มแฮกเกอร์ APT28 กำลังใช้ช่องโหว่ CVE-2026-21509 ผ่านเอกสาร Microsoft Word โดยมุ่งเป้าไปที่ที่อยู่อีเมลมากกว่า 60 แห่งที่เชื่อมโยงกับหน่วยงานบริหารส่วนกลางในยูเครน การวิเคราะห์เมตาเดต้าแสดงให้เห็นว่าเอกสารล่อลวงอย่างน้อยหนึ่งฉบับถูกสร้างขึ้นเมื่อวันที่ 27 มกราคม 2026 ซึ่งเน้นย้ำถึงการนำช่องโหว่นี้ไปใช้ได้อย่างรวดเร็ว

การส่งข้อมูลผ่าน WebDAV และการประมวลผลข้อมูลขั้นสุดท้าย

จากการวิเคราะห์พบว่า การเปิดเอกสารที่เป็นอันตรายใน Microsoft Office จะกระตุ้นการเชื่อมต่อ WebDAV ไปยังแหล่งข้อมูลภายนอก การเชื่อมต่อนี้จะดาวน์โหลดไฟล์ที่มีชื่อคล้ายกับชื่อทางลัด ซึ่งมีโค้ดโปรแกรมฝังอยู่ จากนั้นโค้ดดังกล่าวจะดึงและเรียกใช้เพย์โหลดเพิ่มเติม

กระบวนการนี้สะท้อนให้เห็นถึงห่วงโซ่การติดเชื้อของ PixyNetLoader ในท้ายที่สุด ซึ่งนำไปสู่การติดตั้งอิมแพลนต์ Grunt ของเฟรมเวิร์ก COVENANT และทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกจากระยะไกลได้อย่างถาวร