CVE-2026-21509 माइक्रोसॉफ्ट ऑफिस सुरक्षा भेद्यता

रूस से जुड़े सरकारी प्रायोजित साइबर गिरोह APT28, जिसे UAC-0001 के रूप में भी ट्रैक किया जाता है, को माइक्रोसॉफ्ट ऑफिस की हाल ही में सामने आई खामी का फायदा उठाकर किए गए साइबर हमलों की एक नई लहर के लिए जिम्मेदार ठहराया गया है। इस गतिविधि को 'ऑपरेशन न्यूस्प्लॉइट' नामक अभियान के तहत ट्रैक किया जा रहा है और यह सार्वजनिक रूप से खुलासा होने के बाद वास्तविक दुनिया में इसके शोषण के शुरुआती उदाहरणों में से एक है।

सुरक्षा शोधकर्ताओं ने 29 जनवरी, 2026 को इस समूह को इस खामी का हथियार के रूप में इस्तेमाल करते हुए देखा, माइक्रोसॉफ्ट द्वारा इस भेद्यता का खुलासा करने के ठीक तीन दिन बाद, यूक्रेन, स्लोवाकिया और रोमानिया में उपयोगकर्ताओं को निशाना बनाते हुए।

CVE-2026-21509: एक सुरक्षा सुविधा को दरकिनार करने का तरीका जिसका वास्तविक दुनिया पर प्रभाव पड़ता है

इस खामी (CVE-2026-21509) का CVSS स्कोर 7.8 है और यह Microsoft Office को प्रभावित करती है। इसे सुरक्षा फ़ीचर बाईपास के रूप में वर्गीकृत किया गया है, और यह खामी हमलावरों को एक विशेष रूप से तैयार किया गया Office दस्तावेज़ उपलब्ध कराती है जिसे उचित प्राधिकरण के बिना सक्रिय किया जा सकता है, जिससे व्यापक आक्रमण श्रृंखला के हिस्से के रूप में मनमाना कोड निष्पादन का रास्ता खुल जाता है।

क्षेत्र-विशिष्ट सामाजिक इंजीनियरिंग और बचाव की रणनीति

इस अभियान में मुख्य रूप से लक्षित सोशल इंजीनियरिंग का इस्तेमाल किया गया। स्थानीय लक्षित व्यक्तियों के बीच विश्वसनीयता बढ़ाने के लिए लुभावने दस्तावेज़ अंग्रेज़ी के साथ-साथ रोमानियाई, स्लोवाक और यूक्रेनी भाषाओं में तैयार किए गए थे। डिलीवरी इंफ्रास्ट्रक्चर को सर्वर-साइड बचाव उपायों के साथ कॉन्फ़िगर किया गया था, जिससे यह सुनिश्चित हो सके कि दुर्भावनापूर्ण DLL पेलोड केवल तभी भेजे जाएं जब अनुरोध लक्षित भौगोलिक क्षेत्रों से आए हों और उनमें अपेक्षित User-Agent HTTP हेडर शामिल हों।

दुर्भावनापूर्ण RTF फ़ाइलों के माध्यम से दोहरी ड्रॉपर रणनीति

इस ऑपरेशन का मूल उद्देश्य दुर्भावनापूर्ण RTF दस्तावेज़ों का उपयोग करके CVE-2026-21509 का लाभ उठाना और दो ड्रॉपर में से एक को तैनात करना है, जिनमें से प्रत्येक एक अलग परिचालन उद्देश्य का समर्थन करता है। एक ड्रॉपर ईमेल चोरी करने की क्षमता प्रदान करता है, जबकि दूसरा एक अधिक जटिल, बहु-चरणीय घुसपैठ शुरू करता है जो अंततः एक पूर्ण-विशेषताओं वाले कमांड-एंड-कंट्रोल इम्प्लांट की तैनाती में परिणत होता है।

मिनीडोर: आउटलुक ईमेल की लक्षित चोरी

पहला ड्रॉपर मिनीडोर स्थापित करता है, जो एक C++-आधारित DLL है जिसे माइक्रोसॉफ्ट आउटलुक फ़ोल्डरों, जिनमें इनबॉक्स, जंक और ड्राफ़्ट शामिल हैं, से ईमेल डेटा निकालने के लिए डिज़ाइन किया गया है। चुराए गए संदेशों को हमलावर द्वारा नियंत्रित दो हार्ड-कोडेड ईमेल खातों में भेजा जाता है:
ahmeclaw2002@outlook[.]com और ahmeclaw@proton[.]me.

मिनीडोर को नॉटडोर (जिसे गोनपोस्टाल के नाम से भी जाना जाता है) का एक हल्का संस्करण माना जाता है, जो एक ऐसा टूल है जिसका दस्तावेजीकरण सितंबर 2025 में किया गया था।

PixyNetLoader और Covenant Implant Chain

दूसरा ड्रॉपर, जिसे PixyNetLoader के नाम से जाना जाता है, एक कहीं अधिक उन्नत आक्रमण प्रक्रिया को संभव बनाता है। यह एम्बेडेड घटकों को निकालता है और COM ऑब्जेक्ट हाइजैकिंग के माध्यम से निरंतरता स्थापित करता है। निकाली गई फ़ाइलों में EhStoreShell.dll नामक एक शेलकोड लोडर और SplashScreen.png नामक एक PNG छवि शामिल हैं।

लोडर का काम स्टेग्नोग्राफी का उपयोग करके इमेज में छिपे शेलकोड को निकालना और उसे निष्पादित करना है। यह दुर्भावनापूर्ण गतिविधि तभी सक्रिय होती है जब होस्ट वातावरण को विश्लेषण सैंडबॉक्स के रूप में पहचाना नहीं जाता है और जब DLL को explorer.exe द्वारा लॉन्च किया जाता है; अन्यथा यह निष्क्रिय अवस्था में रहकर पहचान से बचती है।

डिकोड किया गया शेलकोड अंततः एक एम्बेडेड .NET असेंबली लोड करता है: एक ग्रंट इम्प्लांट जो ओपन-सोर्स COVENANT कमांड-एंड-कंट्रोल फ्रेमवर्क से जुड़ा है। APT28 द्वारा कोवेनेंट ग्रंट के पूर्व उपयोग को सितंबर 2025 में ऑपरेशन फैंटम नेट वोक्सेल के दौरान प्रलेखित किया गया था।

ऑपरेशन फैंटम नेट वोक्सेल के साथ सामरिक निरंतरता

ऑपरेशन न्यूस्प्लॉइट में पहले के अभियान की वीबीए मैक्रो निष्पादन विधि को डीएलएल-आधारित दृष्टिकोण से बदल दिया गया है, लेकिन अंतर्निहित तकनीकें काफी हद तक समान ही हैं। इनमें शामिल हैं:

• निष्पादन और निरंतरता के लिए COM हाइजैकिंग
• डीएलएल प्रॉक्सी तंत्र
• XOR-आधारित स्ट्रिंग अस्पष्टीकरण
• PNG छवियों के भीतर शेलकोड लोडर और कोवेनेंट ग्रंट पेलोड का स्टेग्नोग्राफिक एम्बेडिंग

यह निरंतरता APT28 की सिद्ध कार्यप्रणाली को विकसित करने की प्राथमिकता को उजागर करती है, बजाय इसके कि पूरी तरह से नए उपकरण अपनाए जाएं।

CERT-UA की चेतावनी व्यापक लक्ष्यीकरण की पुष्टि करती है

यह अभियान यूक्रेन की कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CERT-UA) की एक चेतावनी के साथ शुरू हुआ, जिसमें APT28 द्वारा Microsoft Word दस्तावेज़ों के माध्यम से CVE-2026-21509 का फायदा उठाने की चेतावनी दी गई थी। इस गतिविधि ने यूक्रेन के केंद्रीय कार्यकारी अधिकारियों से जुड़े 60 से अधिक ईमेल पतों को निशाना बनाया। मेटाडेटा विश्लेषण से पता चला कि कम से कम एक लुअर दस्तावेज़ 27 जनवरी, 2026 को बनाया गया था, जो इस भेद्यता के तेजी से सक्रिय होने को और भी रेखांकित करता है।

WebDAV-आधारित डिलीवरी और अंतिम पेलोड निष्पादन

विश्लेषण से पता चला कि माइक्रोसॉफ्ट ऑफिस में दुर्भावनापूर्ण दस्तावेज़ खोलने से एक बाहरी संसाधन से वेबडीएवी कनेक्शन सक्रिय हो जाता है। इस प्रक्रिया के परिणामस्वरूप एक शॉर्टकट-शैली के नाम वाली फ़ाइल डाउनलोड होती है जिसमें एम्बेडेड प्रोग्राम कोड होता है, जो बाद में एक अतिरिक्त पेलोड को प्राप्त करके निष्पादित करता है।

यह प्रक्रिया अंततः PixyNetLoader संक्रमण श्रृंखला को प्रतिबिंबित करती है, जिससे COVENANT फ्रेमवर्क के Grunt इम्प्लांट की तैनाती होती है और हमलावरों को समझौता किए गए सिस्टम तक लगातार दूरस्थ पहुंच प्राप्त होती है।