CVE-2026-21509 Kahinaan sa Microsoft Office
Ang APT28, na inisponsoran ng estado na may kaugnayan sa Russia, at sinusubaybayan din bilang UAC-0001, ay iniuugnay sa isang bagong bugso ng mga cyberattack na gumagamit ng isang bagong isiniwalat na kahinaan ng Microsoft Office. Ang aktibidad ay sinusubaybayan sa ilalim ng pangalan ng kampanya na Operation Neusploit at minamarkahan ang isa sa mga pinakaunang pagkakataon ng pagsasamantala sa kalikasan kasunod ng pagsisiwalat sa publiko.
Naobserbahan ng mga mananaliksik sa seguridad na ginagamit ng grupo ang depekto bilang armas noong Enero 29, 2026, tatlong araw lamang matapos ibunyag ng Microsoft ang kahinaan, na tinatarget ang mga gumagamit sa buong Ukraine, Slovakia, at Romania.
Talaan ng mga Nilalaman
CVE-2026-21509: Isang Pag-bypass sa Tampok ng Seguridad na may Epekto sa Tunay na Mundo
Ang sinasamantalang kahinaan, ang CVE-2026-21509, ay may markang CVSS na 7.8 at nakakaapekto sa Microsoft Office. Inuri bilang isang bypass sa mga tampok ng seguridad, ang depekto ay nagbibigay-daan sa mga umaatake na maghatid ng isang espesyal na ginawang dokumento ng Office na maaaring i-trigger nang walang wastong awtorisasyon, na nagbubukas ng pinto sa arbitraryong pagpapatupad ng code bilang bahagi ng mas malawak na kadena ng pag-atake.
Mga Taktika sa Social Engineering at Pag-iwas na Partikular sa Rehiyon
Ang kampanya ay lubos na umasa sa pinasadyang social engineering. Ang mga dokumento ng pang-akit ay ginawa sa Ingles pati na rin sa Romanian, Slovak, at Ukrainian upang mapataas ang kredibilidad sa mga lokal na target. Ang imprastraktura ng paghahatid ay na-configure gamit ang mga hakbang sa pag-iwas sa server-side, na tinitiyak na ang mga malisyosong payload ng DLL ay ihahatid lamang kapag ang mga kahilingan ay nagmula sa mga nilalayong rehiyong heograpiko at kasama ang inaasahang mga header ng HTTP ng User-Agent.
Istratehiya ng Dual Dropper sa pamamagitan ng mga Malisyosong RTF File
Ang pangunahing layunin ng operasyon ay ang paggamit ng mga malisyosong dokumento ng RTF upang pagsamantalahan ang CVE-2026-21509 at mag-deploy ng isa sa dalawang dropper, na bawat isa ay sumusuporta sa magkaibang layunin sa operasyon. Ang isang dropper ay naghahatid ng kakayahan sa pagnanakaw ng email, habang ang isa naman ay nagsisimula ng mas kumplikado at maraming yugtong panghihimasok na hahantong sa pag-deploy ng isang kumpletong command-and-control implant.
MiniDoor: Pagnanakaw ng Email na Naka-target sa Outlook
Ang unang dropper ay nag-i-install ng MiniDoor, isang DLL na nakabatay sa C++ na idinisenyo upang mangolekta ng data ng email mula sa mga folder ng Microsoft Outlook, kabilang ang Inbox, Junk, at Drafts. Ang mga ninakaw na mensahe ay inilalabas sa dalawang hard-coded attacker-controlled na email account:
ahmeclaw2002@outlook[.]com at ahmeclaw@proton[.]me.
Ang MiniDoor ay tinatayang isang magaan na hinango ng NotDoor (kilala rin bilang GONEPOSTAL), isang kagamitang naunang naidokumento noong Setyembre 2025.
Ang PixyNetLoader at ang Covenant Implant Chain
Ang pangalawang dropper, na kilala bilang PixyNetLoader, ay nagpapadali sa isang mas advanced na attack sequence. Kinukuha nito ang mga naka-embed na component at nagtatatag ng persistence sa pamamagitan ng COM object hijacking. Kabilang sa mga nakuhang file ay isang shellcode loader na pinangalanang EhStoreShell.dll at isang PNG na imahe na may label na SplashScreen.png.
Ang tungkulin ng loader ay kunin ang shellcode na nakatago sa loob ng imahe gamit ang steganography at isagawa ito. Ang malisyosong lohikang ito ay nag-a-activate lamang kapag ang host environment ay hindi natukoy bilang isang analysis sandbox at kapag ang DLL ay inilunsad ng explorer.exe, kung hindi man ay nananatili itong hindi aktibo upang maiwasan ang pagtuklas.
Ang na-decode na shellcode ay kalaunan ay naglo-load ng isang naka-embed na .NET assembly: isang Grunt implant na nauugnay sa open-source na COVENANT command-and-control framework. Ang naunang paggamit ng APT28 sa Covenant Grunt ay naitala na noon noong Setyembre 2025 noong Operation Phantom Net Voxel.
Taktikal na Pagpapatuloy gamit ang Operasyon Phantom Net Voxel
Bagama't pinapalitan ng Operation Neusploit ang paraan ng pagpapatupad ng VBA macro ng naunang kampanya ng isang pamamaraang nakabatay sa DLL, ang mga pinagbabatayang pamamaraan ay nananatiling halos pare-pareho. Kabilang dito ang:
- Pag-hijack ng COM para sa pagpapatupad at pagtitiyaga
- Mga mekanismo ng proxy ng DLL
- Pag-obfuscate ng string na nakabatay sa XOR
- Steganographic embedding ng mga shellcode loader at Covenant Grunt payload sa loob ng mga PNG na imahe
Itinatampok ng pagpapatuloy na ito ang kagustuhan ng APT28 para sa umuunlad na napatunayang kasanayan sa kalakalan kaysa sa pag-ampon ng ganap na bagong mga kagamitan.
Kinukumpirma ng Babala ng CERT-UA ang Mas Malawak na Pag-target
Ang kampanya ay kasabay ng isang abiso mula sa Computer Emergency Response Team of Ukraine (CERT-UA), na nagbabala tungkol sa APT28 na nagsasamantala sa CVE-2026-21509 sa pamamagitan ng mga dokumento ng Microsoft Word. Tinarget ng aktibidad ang mahigit 60 email address na naka-link sa mga sentral na awtoridad ng ehekutibo sa Ukraine. Ipinakita ng pagsusuri ng metadata na hindi bababa sa isang dokumento ng pang-akit ang nilikha noong Enero 27, 2026, na lalong nagbibigay-diin sa mabilis na pagpapatakbo ng kahinaan.
Paghahatid na Nakabatay sa WebDAV at Pagpapatupad ng Pangwakas na Payload
Ipinakita ng pagsusuri na ang pagbubukas ng malisyosong dokumento sa Microsoft Office ay nagti-trigger ng koneksyon sa WebDAV sa isang panlabas na mapagkukunan. Ang interaksyong ito ay nagda-download ng isang file na may pangalang shortcut-style na naglalaman ng naka-embed na program code, na pagkatapos ay kumukuha at nagpapatupad ng karagdagang payload.
Ang prosesong ito sa huli ay sumasalamin sa kadena ng impeksyon ng PixyNetLoader, na humahantong sa pag-deploy ng Grunt implant ng COVENANT framework at pagbibigay sa mga umaatake ng patuloy na malayuang access sa nakompromisong sistema.
