Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Vulnerabilitat de Microsoft Office CVE-2026-21509

Vulnerabilitat de Microsoft Office CVE-2026-21509

El Mezo el Amenaça persistent avançada (APT)
Traduir a:

L'actor d'amenaces APT28, vinculat a Rússia i patrocinat per l'estat, també rastrejat com a UAC-0001, ha estat atribuït a una nova onada de ciberatacs que aprofitaven una vulnerabilitat de Microsoft Office recentment revelada. L'activitat es rastreja sota el nom de campanya Operation Neusploit i marca un dels primers casos d'explotació in-the-wild després de la seva divulgació pública.

Investigadors de seguretat van observar el grup utilitzant la falla com a arma el 29 de gener de 2026, només tres dies després que Microsoft revelés la vulnerabilitat, dirigida a usuaris d'Ucraïna, Eslovàquia i Romania.

CVE-2026-21509: Una evasió de funcions de seguretat amb impacte al món real

La vulnerabilitat explotada, CVE-2026-21509, té una puntuació CVSS de 7,8 i afecta Microsoft Office. Classificada com una evasió de funcions de seguretat, la falla permet als atacants lliurar un document d'Office especialment dissenyat que es pot activar sense l'autorització adequada, obrint la porta a l'execució arbitrària de codi com a part d'una cadena d'atac més àmplia.

Enginyeria social i tàctiques d’evasió específiques per regió

La campanya es va basar en gran mesura en l'enginyeria social a mida. Els documents d'esquer es van elaborar en anglès, així com en romanès, eslovac i ucraïnès per augmentar la credibilitat entre els objectius locals. La infraestructura de lliurament es va configurar amb mesures d'evasió del costat del servidor, garantint que les càrregues útils DLL malicioses només es servissin quan les sol·licituds s'originaven des de les regions geogràfiques previstes i incloïen les capçaleres HTTP User-Agent esperades.

Estratègia de doble dropper mitjançant fitxers RTF maliciosos

Al centre de l'operació hi ha l'ús de documents RTF maliciosos per explotar la CVE-2026-21509 i desplegar un dels dos droppers, cadascun dels quals dóna suport a un objectiu operatiu diferent. Un dropper ofereix una capacitat de robatori de correu electrònic, mentre que l'altre inicia una intrusió més complexa i de diverses etapes que culmina amb el desplegament d'un implant de comandament i control complet.

MiniDoor: Robatori de correu electrònic d’Outlook dirigit

El primer programa instal·la MiniDoor, una DLL basada en C++ dissenyada per recopilar dades de correu electrònic de carpetes de Microsoft Outlook, incloent-hi la safata d'entrada, el correu brossa i els esborranys. Els missatges robats s'exfiltren a dos comptes de correu electrònic controlats per atacants i codificats de manera fixa:
ahmeclaw2002@outlook[.]com i ahmeclaw@proton[.]me.

Es considera que MiniDoor és un derivat lleuger de NotDoor (també conegut com a GONEPOSTAL), una eina documentada anteriorment el setembre del 2025.

PixyNetLoader i la cadena d’implants del Covenant

El segon dropper, conegut com a PixyNetLoader, facilita una seqüència d'atac significativament més avançada. Extreu components incrustats i estableix persistència mitjançant el segrest d'objectes COM. Entre els fitxers extrets hi ha un carregador de shellcode anomenat EhStoreShell.dll i una imatge PNG anomenada SplashScreen.png.

La funció del carregador és extreure el codi shell amagat dins de la imatge mitjançant esteganografia i executar-lo. Aquesta lògica maliciosa només s'activa quan l'entorn amfitrió no s'identifica com a sandbox d'anàlisi i quan explorer.exe inicia la DLL; en cas contrari, roman inactiva per evitar la detecció.

El codi shell descodificat finalment carrega un ensamblatge .NET incrustat: un implant Grunt associat amb el marc de comandament i control de codi obert COVENANT. L'ús previ de Covenant Grunt per part d'APT28 es va documentar prèviament el setembre de 2025 durant l'Operació Phantom Net Voxel.

Continuïtat tàctica amb l’Operació Phantom Net Voxel

Tot i que l'Operació Neusploit substitueix el mètode d'execució de macros VBA de la campanya anterior per un enfocament basat en DLL, les tècniques subjacents romanen en gran mesura consistents. Aquestes inclouen:

  • Segrest de COM per a l'execució i la persistència
  • Mecanismes de proxy de DLL
  • Ofuscació de cadenes basada en XOR
  • Incrustació esteganogràfica de carregadors de shellcode i càrregues útils de Covenant Grunt dins d'imatges PNG

Aquesta continuïtat destaca la preferència d'APT28 per l'evolució d'una tècnica comercial provada en lloc d'adoptar eines completament noves.

L’avís de CERT-UA confirma una segmentació més àmplia

La campanya va coincidir amb un avís de l'Equip de Resposta a Emergències Informàtiques d'Ucraïna (CERT-UA), que va advertir que l'APT28 estava explotant la CVE-2026-21509 a través de documents de Microsoft Word. L'activitat va tenir com a objectiu més de 60 adreces de correu electrònic vinculades a les autoritats executives centrals d'Ucraïna. L'anàlisi de metadades va mostrar que almenys un document d'esquer es va crear el 27 de gener de 2026, cosa que subratlla encara més la ràpida operacionalització de la vulnerabilitat.

Lliurament basat en WebDAV i execució de la càrrega útil final

L'anàlisi va revelar que obrir el document maliciós a Microsoft Office activa una connexió WebDAV a un recurs extern. Aquesta interacció descarrega un fitxer amb un nom d'estil drecera que conté codi de programa incrustat, que després recupera i executa una càrrega útil addicional.

Aquest procés, en última instància, reflecteix la cadena d'infecció de PixyNetLoader, cosa que porta al desplegament de l'implant Grunt del marc de treball COVENANT i atorga als atacants accés remot persistent al sistema compromès.

 

Tendència

Més vist

Carregant...