CVE-2026-21509 Microsoft Office Güvenlik Açığı
Rusya bağlantılı devlet destekli tehdit aktörü APT28 (UAC-0001 olarak da izleniyor), yeni açıklanan bir Microsoft Office güvenlik açığından yararlanan yeni bir siber saldırı dalgasıyla ilişkilendirildi. Faaliyet, "Operation Neusploit" kampanya adı altında izleniyor ve kamuoyuna açıklanmasının ardından gerçek dünyada gerçekleşen istismarın en erken örneklerinden birini oluşturuyor.
Güvenlik araştırmacıları, Microsoft'un güvenlik açığını duyurmasından sadece üç gün sonra, 29 Ocak 2026'da grubun bu açığı silah olarak kullandığını ve Ukrayna, Slovakya ve Romanya'daki kullanıcıları hedef aldığını gözlemledi.
İçindekiler
CVE-2026-21509: Gerçek Dünyayı Etkileyen Bir Güvenlik Açığı
CVE-2026-21509 kodlu güvenlik açığı, 7.8 CVSS puanına sahip olup Microsoft Office'i etkilemektedir. Güvenlik özelliği atlatma olarak sınıflandırılan bu kusur, saldırganların yetkilendirme olmadan tetiklenebilen özel olarak hazırlanmış bir Office belgesi sunmasına olanak tanıyarak, daha geniş bir saldırı zincirinin parçası olarak rastgele kod yürütülmesine imkan sağlamaktadır.
Bölgeye Özgü Sosyal Mühendislik ve Kaçınma Taktikleri
Kampanya büyük ölçüde özel olarak tasarlanmış sosyal mühendisliğe dayanıyordu. Yerel hedefler arasında güvenilirliği artırmak için İngilizce'nin yanı sıra Romence, Slovakça ve Ukraynaca dillerinde de yem belgeleri hazırlanmıştı. Dağıtım altyapısı, sunucu tarafı kaçınma önlemleriyle yapılandırılmış olup, kötü amaçlı DLL yüklerinin yalnızca istekler hedeflenen coğrafi bölgelerden geldiğinde ve beklenen User-Agent HTTP başlıklarını içerdiğinde sunulmasını sağlıyordu.
Kötü Amaçlı RTF Dosyaları Aracılığıyla Çift Dropper Stratejisi
Operasyonun özünde, CVE-2026-21509 açığını istismar etmek ve her biri farklı bir operasyonel amacı destekleyen iki yükleyici yazılımdan birini devreye sokmak için kötü amaçlı RTF belgelerinin kullanılması yer almaktadır. Yükleyici yazılımlardan biri e-posta hırsızlığı yeteneği sağlarken, diğeri daha karmaşık, çok aşamalı bir sızma başlatarak tam özellikli bir komuta ve kontrol yazılımının devreye sokulmasıyla sonuçlanır.
MiniDoor: Hedefli Outlook E-posta Hırsızlığı
İlk zararlı yazılım, Microsoft Outlook klasörlerinden (Gelen Kutusu, Önemsiz Posta ve Taslaklar dahil) e-posta verilerini toplamak için tasarlanmış C++ tabanlı bir DLL olan MiniDoor'u kurar. Çalınan mesajlar, saldırgan tarafından kontrol edilen iki önceden tanımlanmış e-posta hesabına sızdırılır:
ahmeclaw2002@outlook[.]com ve ahmeclaw@proton[.]me.
MiniDoor'un, Eylül 2025'te daha önce belgelenmiş bir araç olan NotDoor'un (GONEPOSTAL olarak da bilinir) hafifletilmiş bir türevi olduğu değerlendirilmektedir.
PixyNetLoader ve Covenant İmplant Zinciri
PixyNetLoader olarak bilinen ikinci yükleyici, çok daha gelişmiş bir saldırı dizisini kolaylaştırır. Gömülü bileşenleri çıkarır ve COM nesnesi ele geçirme yoluyla kalıcılık sağlar. Çıkarılan dosyalar arasında EhStoreShell.dll adlı bir shellcode yükleyici ve SplashScreen.png etiketli bir PNG görüntüsü bulunur.
Yükleyicinin görevi, steganografi kullanarak görüntü içine gizlenmiş shellcode'u çıkarmak ve çalıştırmaktır. Bu kötü amaçlı mantık, yalnızca ana bilgisayar ortamı bir analiz kum havuzu olarak tanımlanmadığında ve DLL explorer.exe tarafından başlatıldığında etkinleşir; aksi takdirde tespit edilmemek için pasif kalır.
Çözümlenen shellcode, nihayetinde gömülü bir .NET derlemesini yükler: açık kaynaklı COVENANT komuta ve kontrol çerçevesiyle ilişkili bir Grunt implantı. APT28'in Covenant Grunt'ı daha önce kullanması, Eylül 2025'te Phantom Net Voxel Operasyonu sırasında belgelenmişti.
Operation Phantom Net Voxel ile Taktiksel Süreklilik
Operation Neusploit, önceki kampanyanın VBA makro yürütme yöntemini DLL tabanlı bir yaklaşımla değiştirirken, temel teknikler büyük ölçüde aynı kalmıştır. Bunlar şunlardır:
- COM ele geçirme yoluyla yürütme ve kalıcılık
- DLL proxy mekanizmaları
- XOR tabanlı dize gizleme
- Shellcode yükleyicilerinin ve Covenant Grunt yüklerinin PNG resimleri içine steganografik olarak yerleştirilmesi
Bu süreklilik, APT28'in tamamen yeni araçlar benimsemek yerine, kendini kanıtlamış yöntemleri geliştirme tercihini vurgulamaktadır.
CERT-UA Uyarısı Daha Geniş Kapsamlı Hedeflemeyi Doğruluyor
Kampanya, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi'nin (CERT-UA) APT28'in Microsoft Word belgeleri aracılığıyla CVE-2026-21509 güvenlik açığını istismar ettiğine dair uyarısıyla aynı zamana denk geldi. Faaliyet, Ukrayna'daki merkezi yürütme yetkilileriyle bağlantılı 60'tan fazla e-posta adresini hedef aldı. Meta veri analizi, en az bir yem belgesinin 27 Ocak 2026'da oluşturulduğunu göstererek, güvenlik açığının hızla operasyonel hale geldiğini daha da vurguladı.
WebDAV Tabanlı Teslimat ve Son Yük Yürütme
Analizler, kötü amaçlı belgenin Microsoft Office'te açılmasının harici bir kaynağa WebDAV bağlantısı kurduğunu ortaya koydu. Bu etkileşim, içine gömülü program kodu içeren, kısayol stili bir ada sahip bir dosya indiriyor ve bu dosya daha sonra ek bir zararlı yazılımı alıp çalıştırıyor.
Bu süreç, nihayetinde PixyNetLoader enfeksiyon zincirini yansıtarak COVENANT çerçevesinin Grunt kötü amaçlı yazılımının devreye alınmasına ve saldırganlara ele geçirilen sisteme kalıcı uzaktan erişim imkanı sağlamasına yol açar.
