Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) Ranjivost sustava Microsoft Office CVE-2026-21509

Ranjivost sustava Microsoft Office CVE-2026-21509

Do Mezo. Napredna trajna prijetnja (APT). godine
Prevedi na:

S Rusijom povezan i državno sponzoriran akter prijetnji APT28, također praćen kao UAC-0001, pripisan je novom valu kibernetičkih napada koji iskorištavaju novootkrivenu ranjivost Microsoft Officea. Aktivnost se prati pod nazivom kampanje Operacija Neusploit i označava jedan od najranijih slučajeva iskorištavanja u divljini nakon javnog otkrivanja.

Sigurnosni istraživači primijetili su skupinu kako koristi propust kao oružje 29. siječnja 2026., samo tri dana nakon što je Microsoft otkrio ranjivost, ciljajući korisnike diljem Ukrajine, Slovačke i Rumunjske.

CVE-2026-21509: Zaobilaženje sigurnosnih značajki s utjecajem na stvarni svijet

Iskorištena ranjivost, CVE-2026-21509, nosi CVSS ocjenu 7,8 i utječe na Microsoft Office. Klasificirana kao zaobilaženje sigurnosnih značajki, ova ranjivost omogućuje napadačima isporuku posebno izrađenog Office dokumenta koji se može pokrenuti bez odgovarajuće autorizacije, otvarajući vrata proizvoljnom izvršavanju koda kao dijelu šireg lanca napada.

Regionalno specifični društveni inženjering i taktike izbjegavanja

Kampanja se uvelike oslanjala na prilagođeni socijalni inženjering. Dokumenti mamaca izrađeni su na engleskom, kao i na rumunjskom, slovačkom i ukrajinskom jeziku kako bi se povećala vjerodostojnost među lokalnim metama. Infrastruktura isporuke konfigurirana je s mjerama izbjegavanja na strani poslužitelja, osiguravajući da se zlonamjerni DLL sadržaji poslužuju samo kada zahtjevi potječu iz određenih geografskih regija i uključuju očekivane HTTP zaglavlja korisničkog agenta.

Strategija dvostrukog droppera putem zlonamjernih RTF datoteka

U središtu operacije je korištenje zlonamjernih RTF dokumenata za iskorištavanje CVE-2026-21509 i postavljanje jednog od dvaju upadača, od kojih svaki podržava drugačiji operativni cilj. Jedan upadač omogućuje krađu e-pošte, dok drugi pokreće složeniji, višefazni upad koji kulminira postavljanjem potpuno opremljenog implantata za zapovijedanje i kontrolu.

MiniDoor: Ciljana krađa Outlook e-pošte

Prvi instaler instalira MiniDoor, DLL temeljen na C++-u dizajniran za prikupljanje podataka e-pošte iz mapa Microsoft Outlooka, uključujući Pristiglu poštu, Neželjenu poštu i Nacrte. Ukradene poruke se prebacuju na dva fiksno kodirana računa e-pošte kojima upravlja napadač:
ahmeclaw2002@outlook[.]com i ahmeclaw@proton[.]me.

Procjenjuje se da je MiniDoor lagana izvedenica alata NotDoor (poznatog i kao GONEPOSTAL), prethodno dokumentiranog u rujnu 2025.

PixyNetLoader i lanac implantata Zavjeta

Drugi dropper, poznat kao PixyNetLoader, omogućuje znatno napredniji niz napada. Izdvaja ugrađene komponente i uspostavlja perzistenciju putem otmice COM objekata. Među izdvojenim datotekama su shellcode loader pod nazivom EhStoreShell.dll i PNG slika s oznakom SplashScreen.png.

Uloga učitavača je izdvojiti shellcode skriven unutar slike pomoću steganografije i izvršiti ga. Ova zlonamjerna logika aktivira se samo kada okruženje hosta nije identificirano kao analitički sandbox i kada explorer.exe pokrene DLL, inače ostaje neaktivan kako bi se izbjeglo otkrivanje.

Dekodirani shellcode u konačnici učitava ugrađeni .NET sklop: Grunt implant povezan s okvirom za zapovijedanje i kontrolu otvorenog koda COVENANT. Prethodna upotreba Covenant Grunta od strane APT28 prethodno je dokumentirana u rujnu 2025. tijekom Operacije Phantom Net Voxel.

Taktički kontinuitet s operacijom Phantom Net Voxel

Iako Operacija Neusploit zamjenjuje metodu izvršavanja VBA makroa iz ranije kampanje pristupom temeljenim na DLL-u, temeljne tehnike ostaju uglavnom dosljedne. To uključuje:

  • Otmica COM-a radi izvršavanja i perzistencije
  • Mehanizmi proxyiranja DLL-ova
  • XOR-bazirano maskiranje stringova
  • Steganografsko ugrađivanje učitavača shellcode-a i korisnih tereta Covenant Grunta unutar PNG slika

Ovaj kontinuitet naglašava APT28-ovu sklonost razvoju provjerenih zanatskih vještina umjesto usvajanja potpuno novih alata.

Upozorenje CERT-UA potvrđuje šire ciljanje

Kampanja se poklopila s upozorenjem Ukrajinskog tima za odgovor na računalne hitne slučajeve (CERT-UA), koji je upozorio na APT28 koji iskorištava CVE-2026-21509 putem Microsoft Word dokumenata. Aktivnost je usmjerena na više od 60 adresa e-pošte povezanih sa središnjim izvršnim vlastima u Ukrajini. Analiza metapodataka pokazala je da je 27. siječnja 2026. kreiran barem jedan dokument mamac, što dodatno naglašava brzu operacionalizaciju ranjivosti.

Isporuka temeljena na WebDAV-u i konačno izvršenje korisnog tereta

Analiza je otkrila da otvaranje zlonamjernog dokumenta u sustavu Microsoft Office pokreće WebDAV vezu s vanjskim resursom. Ova interakcija preuzima datoteku s nazivom u obliku prečaca koja sadrži ugrađeni programski kod, koji zatim dohvaća i izvršava dodatni korisni sadržaj.

Ovaj proces u konačnici odražava lanac infekcije PixyNetLoaderom, što dovodi do implementacije Grunt implantata COVENANT okvira i omogućuje napadačima trajni udaljeni pristup kompromitiranom sustavu.

 

U trendu

Nagledanije

Učitavam...