Zranitelnost CVE-2026-21509 v sadě Microsoft Office
Ruskem napojený a státem sponzorovaný hackerský aktér APT28, sledovaný také jako UAC-0001, byl přičítán nové vlně kybernetických útoků využívajících nově odhalenou zranitelnost v Microsoft Office. Aktivita je sledována pod názvem kampaně Operation Neusploit a představuje jeden z prvních případů divokého zneužití po zveřejnění.
Bezpečnostní experti pozorovali skupinu, která zneužívala chybu jako zbraň, 29. ledna 2026, pouhé tři dny poté, co společnost Microsoft zranitelnost odhalila, a zaměřila se na uživatele na Ukrajině, Slovensku a v Rumunsku.
Obsah
CVE-2026-21509: Obejití bezpečnostní funkce s dopadem na reálný svět
Zneužitá zranitelnost CVE-2026-21509 má skóre CVSS 7,8 a ovlivňuje Microsoft Office. Chyba, klasifikovaná jako obcházení bezpečnostních funkcí, umožňuje útočníkům doručit speciálně vytvořený dokument Office, který lze spustit bez řádné autorizace, čímž otevírá dveře ke spuštění libovolného kódu v rámci širšího útočného řetězce.
Regionálně specifické sociální inženýrství a taktiky úniku
Kampaň se silně spoléhala na přizpůsobené sociální inženýrství. Lákavé dokumenty byly vytvořeny v angličtině, rumunštině, slovenštině a ukrajinštině, aby se zvýšila důvěryhodnost mezi místními cíli. Doručovací infrastruktura byla nakonfigurována s opatřeními pro vyhýbání se útokům na straně serveru, což zajistilo, že škodlivé DLL datové soubory byly obsluhovány pouze tehdy, když požadavky pocházely z určených geografických oblastí a obsahovaly očekávané HTTP hlavičky User-Agent.
Strategie duálního dropperu prostřednictvím škodlivých souborů RTF
Jádrem operace je využití škodlivých dokumentů RTF k zneužití škodlivého kódu CVE-2026-21509 a nasazení jednoho ze dvou dropperů, z nichž každý podporuje jiný operační cíl. Jeden dropper umožňuje krádež e-mailů, zatímco druhý spouští složitější, vícestupňový útok, který vrcholí nasazením plnohodnotného velitelského a kontrolního implantátu.
MiniDoor: Cílená krádež e-mailů z Outlooku
První dropper nainstaluje MiniDoor, knihovnu DLL založenou na C++, která je určena ke sběru e-mailových dat ze složek Microsoft Outlooku, včetně Doručené pošty, Nevyžádané pošty a Konceptů. Ukradené zprávy jsou přesměrovány na dva hard-kódované e-mailové účty ovládané útočníkem:
ahmeclaw2002@outlook[.]com a ahmeclaw@proton[.]me.
MiniDoor je považován za odlehčenou variantu nástroje NotDoor (známého také jako GONEPOSTAL), který byl dříve zdokumentován v září 2025.
PixyNetLoader a Implant Chain Covenantu
Druhý dropper, známý jako PixyNetLoader, umožňuje výrazně pokročilejší útočnou sekvenci. Extrahuje vložené komponenty a zajišťuje perzistenci pomocí únosu COM objektů. Mezi extrahovanými soubory je zavaděč shellcode s názvem EhStoreShell.dll a obrázek PNG s označením SplashScreen.png.
Úlohou zavaděče je extrahovat shellcode skrytý v obrazu pomocí steganografie a spustit jej. Tato škodlivá logika se aktivuje pouze tehdy, když hostitelské prostředí není identifikováno jako analytický sandbox a když je knihovna DLL spuštěna programem explorer.exe, jinak zůstává neaktivní, aby se zabránilo detekci.
Dekódovaný shellcode nakonec načte vloženou sestavu .NET: implantát Grunt spojený s open-source frameworkem COVENANT. Předchozí použití Covenant Grunt skupinou APT28 bylo dříve zdokumentováno v září 2025 během operace Phantom Net Voxel.
Taktická kontinuita s operací Phantom Net Voxel
Ačkoliv operace Neusploit nahrazuje metodu spouštění maker VBA z dřívější kampaně přístupem založeným na knihovnách DLL, základní techniky zůstávají do značné míry konzistentní. Patří mezi ně:
- Únos COM serveru pro účely provádění a perzistence
- Mechanismy proxy DLL
- Zmatkování řetězců založené na XOR
- Steganografické vkládání zavaděčů shellcode a dat Covenant Grunt do obrázků PNG
Tato kontinuita zdůrazňuje, že APT28 upřednostňuje vývoj osvědčených řemesel před zaváděním zcela nových nástrojů.
Varování CERT-UA potvrzuje širší cílení
Kampaň se shodovala s oznámením Ukrajinské jednotky pro reakci na počítačové nouzové situace (CERT-UA), která varovala před APT28 zneužívajícím zranitelnost CVE-2026-21509 prostřednictvím dokumentů Microsoft Word. Aktivita byla zaměřena na více než 60 e-mailových adres propojených s ústředními orgány výkonné moci na Ukrajině. Analýza metadat ukázala, že 27. ledna 2026 byl vytvořen alespoň jeden lákavý dokument, což dále podtrhuje rychlou operacionalizaci této zranitelnosti.
Doručování a finální spuštění dat založené na protokolu WebDAV
Analýza odhalila, že otevření škodlivého dokumentu v Microsoft Office spouští připojení WebDAV k externímu zdroji. Tato interakce stáhne soubor s názvem ve stylu zástupce, který obsahuje vložený programový kód, který následně načte a spustí další datovou část.
Tento proces v konečném důsledku odráží řetězec infekce PixyNetLoader, což vede k nasazení implantátu Grunt frameworku COVENANT a útočníkům poskytuje trvalý vzdálený přístup k napadenému systému.
