Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Mối đe dọa dai dẳng nâng cao (APT) Lỗ hổng bảo mật CVE-2026-21509 của Microsoft Office

Lỗ hổng bảo mật CVE-2026-21509 của Microsoft Office

Đến năm Mezo năm Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Nhóm tin tặc APT28, có liên hệ với Nga và được theo dõi với mã định danh UAC-0001, được cho là nguyên nhân gây ra làn sóng tấn công mạng mới lợi dụng lỗ hổng bảo mật mới được phát hiện trong Microsoft Office. Hoạt động này được theo dõi dưới tên chiến dịch Operation Neusploit và đánh dấu một trong những trường hợp khai thác thực tế sớm nhất sau khi lỗ hổng được công khai.

Các nhà nghiên cứu bảo mật đã phát hiện nhóm này lợi dụng lỗ hổng vào ngày 29 tháng 1 năm 2026, chỉ ba ngày sau khi Microsoft tiết lộ lỗ hổng, nhắm mục tiêu vào người dùng ở Ukraine, Slovakia và Romania.

CVE-2026-21509: Lỗ hổng vượt qua tính năng bảo mật gây ảnh hưởng thực tế

Lỗ hổng bảo mật bị khai thác, CVE-2026-21509, có điểm CVSS là 7.8 và ảnh hưởng đến Microsoft Office. Được phân loại là lỗ hổng bỏ qua tính năng bảo mật, lỗi này cho phép kẻ tấn công tạo ra một tài liệu Office được thiết kế đặc biệt có thể được kích hoạt mà không cần sự cho phép thích hợp, mở ra khả năng thực thi mã tùy ý như một phần của chuỗi tấn công rộng hơn.

Các chiến thuật thao túng tâm lý và né tránh đặc thù theo từng khu vực

Chiến dịch này dựa rất nhiều vào kỹ thuật thao túng tâm lý được thiết kế riêng. Các tài liệu mồi nhử được soạn thảo bằng tiếng Anh cũng như tiếng Romania, tiếng Slovak và tiếng Ukraina để tăng độ tin cậy đối với các mục tiêu địa phương. Cơ sở hạ tầng phân phối được cấu hình với các biện pháp né tránh phía máy chủ, đảm bảo rằng các tệp DLL độc hại chỉ được phân phát khi yêu cầu xuất phát từ các khu vực địa lý dự định và bao gồm các tiêu đề HTTP User-Agent như mong đợi.

Chiến lược thả kép thông qua các tập tin RTF độc hại

Cốt lõi của chiến dịch là sử dụng các tài liệu RTF độc hại để khai thác lỗ hổng CVE-2026-21509 và triển khai một trong hai phần mềm phát tán mã độc, mỗi phần mềm hỗ trợ một mục tiêu hoạt động khác nhau. Một phần mềm cung cấp khả năng đánh cắp email, trong khi phần mềm còn lại khởi động một cuộc xâm nhập phức tạp hơn, nhiều giai đoạn, đỉnh điểm là việc triển khai một phần mềm điều khiển và kiểm soát đầy đủ chức năng.

MiniDoor: Phần mềm đánh cắp email Outlook có chủ đích

Phần mềm độc hại đầu tiên cài đặt MiniDoor, một DLL dựa trên C++ được thiết kế để thu thập dữ liệu email từ các thư mục Microsoft Outlook, bao gồm Hộp thư đến, Thư rác và Thư nháp. Các tin nhắn bị đánh cắp được chuyển đến hai tài khoản email do kẻ tấn công kiểm soát đã được mã hóa cứng:
ahmeclaw2002@outlook[.]com và ahmeclaw@proton[.]me.

MiniDoor được đánh giá là một phiên bản rút gọn của NotDoor (còn được gọi là GONEPOSTAL), một công cụ đã được ghi nhận trước đó vào tháng 9 năm 2025.

PixyNetLoader và Chuỗi cấy ghép Covenant

Phần mềm phát tán thứ hai, được gọi là PixyNetLoader, tạo điều kiện cho một chuỗi tấn công phức tạp hơn nhiều. Nó trích xuất các thành phần được nhúng và thiết lập khả năng duy trì hoạt động thông qua việc chiếm quyền điều khiển đối tượng COM. Trong số các tệp được trích xuất có một trình tải shellcode tên là EhStoreShell.dll và một hình ảnh PNG có nhãn SplashScreen.png.

Vai trò của trình tải là trích xuất mã độc ẩn trong ảnh bằng kỹ thuật giấu tin và thực thi nó. Logic độc hại này chỉ được kích hoạt khi môi trường máy chủ không được nhận dạng là hộp cát phân tích và khi DLL được khởi chạy bởi explorer.exe, nếu không thì nó sẽ ở trạng thái ngủ đông để tránh bị phát hiện.

Đoạn mã độc được giải mã cuối cùng sẽ tải một assembly .NET nhúng: một phần mềm Grunt được cấy ghép liên kết với khung điều khiển và chỉ huy mã nguồn mở COVENANT. Việc APT28 từng sử dụng Covenant Grunt đã được ghi nhận trước đó vào tháng 9 năm 2025 trong Chiến dịch Phantom Net Voxel.

Đảm bảo tính liên tục về chiến thuật với Chiến dịch Mạng lưới Bóng ma Voxel

Mặc dù Chiến dịch Neusploit thay thế phương pháp thực thi macro VBA của chiến dịch trước đó bằng phương pháp dựa trên DLL, nhưng các kỹ thuật cơ bản vẫn tương tự nhau. Chúng bao gồm:

  • Tấn công chiếm quyền điều khiển COM để thực thi và duy trì quyền truy cập
  • Cơ chế ủy quyền DLL
  • Làm mờ chuỗi dựa trên phép toán XOR
  • Kỹ thuật giấu tin (steganography) mã độc nạp shellcode và payload Covenant Grunt vào trong ảnh PNG.

Sự liên tục này cho thấy APT28 ưu tiên phát triển các kỹ thuật đã được chứng minh hơn là áp dụng các công cụ hoàn toàn mới.

Cảnh báo của CERT-UA xác nhận việc nhắm mục tiêu rộng hơn.

Chiến dịch này trùng hợp với cảnh báo từ Nhóm Ứng phó Khẩn cấp Máy tính của Ukraine (CERT-UA), trong đó cảnh báo về việc APT28 khai thác lỗ hổng CVE-2026-21509 thông qua các tài liệu Microsoft Word. Hoạt động này nhắm mục tiêu vào hơn 60 địa chỉ email liên kết với các cơ quan hành pháp trung ương ở Ukraine. Phân tích siêu dữ liệu cho thấy ít nhất một tài liệu mồi nhử đã được tạo vào ngày 27 tháng 1 năm 2026, càng nhấn mạnh tốc độ khai thác nhanh chóng của lỗ hổng này.

Phân phối dựa trên WebDAV và thực thi tải trọng cuối cùng

Phân tích cho thấy việc mở tài liệu độc hại trong Microsoft Office sẽ kích hoạt kết nối WebDAV đến một tài nguyên bên ngoài. Tương tác này tải xuống một tệp có tên dạng lối tắt chứa mã chương trình được nhúng, sau đó tệp này sẽ truy xuất và thực thi một phần mềm độc hại bổ sung.

Quá trình này về cơ bản phản ánh chuỗi lây nhiễm của PixyNetLoader, dẫn đến việc triển khai phần mềm độc hại Grunt của khung COVENANT và cấp cho kẻ tấn công quyền truy cập từ xa liên tục vào hệ thống bị xâm nhập.

 

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
26,767
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...