CVE-2026-21509 Microsoft Office biztonsági rés
Az Oroszországhoz köthető, államilag támogatott APT28 nevű fenyegetést, amelyet UAC-0001-ként is nyomon követnek, egy újonnan felfedezett Microsoft Office sebezhetőséget kihasználó újabb kibertámadási hullámmal hozták összefüggésbe. A tevékenységet az Operation Neusploit kampánynév alatt követik nyomon, és ez az egyik legkorábbi esete a nyilvános bejelentést követő nyílt kihasználásnak.
Biztonsági kutatók 2026. január 29-én figyelték meg, hogy a csoport fegyverként használja a hibát, mindössze három nappal azután, hogy a Microsoft nyilvánosságra hozta a sebezhetőséget, Ukrajnában, Szlovákiában és Romániában élő felhasználókat célozva meg.
Tartalomjegyzék
CVE-2026-21509: Biztonsági funkció megkerülése valós hatással
A kihasznált sebezhetőség, a CVE-2026-21509, 7,8-as CVSS pontszámmal rendelkezik, és a Microsoft Office programcsomagot érinti. A biztonsági funkciók megkerülésére szolgáló hiba lehetővé teszi a támadók számára, hogy speciálisan létrehozott Office-dokumentumot juttassanak el, amely megfelelő engedély nélkül aktiválható, megnyitva az utat a tetszőleges kódfuttatás előtt egy szélesebb támadási lánc részeként.
Régióspecifikus társadalmi manipuláció és kibúvó taktikák
A kampány nagymértékben támaszkodott a személyre szabott társadalmi manipulációra. A csali dokumentumok angol, valamint román, szlovák és ukrán nyelven is készültek, hogy növeljék a hitelességet a helyi célpontok körében. A kézbesítési infrastruktúrát szerveroldali megkerülési intézkedésekkel konfigurálták, biztosítva, hogy a rosszindulatú DLL-csomagok csak akkor kerüljenek kiszolgálásra, ha a kérések a kívánt földrajzi régiókból származnak, és tartalmazzák a várt User-Agent HTTP-fejléceket.
Kettős cseppentő stratégia rosszindulatú RTF fájlokon keresztül
A művelet középpontjában rosszindulatú RTF dokumentumok használata áll, amelyekkel kihasználják a CVE-2026-21509 támadási felületet, és két, eltérő műveleti célt szolgáló dropper egyikét telepítik. Az egyik dropper e-mail-lopási képességet biztosít, míg a másik egy összetettebb, többlépcsős behatolást indít el, amely egy teljes funkcionalitású parancs- és vezérlő implantátum telepítésével csúcsosodik ki.
MiniDoor: Célzott Outlook e-mail lopás
Az első dropper telepíti a MiniDoor nevű C++ alapú DLL-t, amely e-mail adatokat gyűjt a Microsoft Outlook mappáiból, beleértve a Beérkezett üzenetek, a Levélszemét és a Vázlatok mappát. Az ellopott üzeneteket két, a támadó által ellenőrzött, fixen kódolt e-mail fiókba szivárogtatja ki:
ahmeclaw2002@outlook[.]com és ahmeclaw@proton[.]me.
A MiniDoor a NotDoor (más néven GONEPOSTAL) egy könnyűszerkezetes származéka, amely eszközt korábban, 2025 szeptemberében dokumentáltak.
PixyNetLoader és a Covenant implantátumlánc
A második dropper, a PixyNetLoader, egy lényegesen fejlettebb támadási sorozatot tesz lehetővé. Kinyeri a beágyazott komponenseket, és COM-objektumok eltérítésével biztosítja a perzisztenciát. A kinyert fájlok között található egy EhStoreShell.dll nevű shellkód-betöltő és egy SplashScreen.png feliratú PNG-kép.
A betöltő szerepe a képfájlban rejtett shellkód kinyerése szteganográfia segítségével és végrehajtása. Ez a rosszindulatú logika csak akkor aktiválódik, ha a gazdagép környezetét nem azonosítják elemző sandboxként, és amikor a DLL-t az explorer.exe indítja el, egyébként inaktív marad az észlelés elkerülése érdekében.
A dekódolt shellkód végül egy beágyazott .NET assembly-t tölt be: egy Grunt implantátumot, amely a nyílt forráskódú COVENANT parancs- és vezérlő keretrendszerhez van társítva. Az APT28 korábbi Covenant Grunt használatát korábban 2025 szeptemberében dokumentálták az Operation Phantom Net Voxel során.
Taktikai folytonosság az Operation Phantom Net Voxel segítségével
Bár az Operation Neusploit a korábbi kampány VBA makrófuttatási módszerét DLL-alapú megközelítéssel helyettesíti, az alapul szolgáló technikák nagyrészt változatlanok maradnak. Ezek a következők:
- COM-eltérítés végrehajtás és megőrzés céljából
- DLL proxy mechanizmusok
- XOR-alapú karakterlánc-obfuszkáció
- Shellkód-betöltők és Covenant Grunt hasznos adatok szteganografikus beágyazása PNG képekbe
Ez a folytonosság rávilágít az APT28 azon preferenciájára, hogy a már bevált szakértelmet fejlessze a teljesen új eszközök bevezetése helyett.
A CERT-UA figyelmeztetése megerősíti a szélesebb körű célzást
A kampány egybeesett az Ukrán Számítógépes Vészhelyzet-elhárító Csoport (CERT-UA) által kiadott tájékoztatóval, amely az APT28-ra figyelmeztetett, amely a CVE-2026-21509 sérülékenységet Microsoft Word dokumentumokon keresztül használja ki. A tevékenység több mint 60, Ukrajna központi végrehajtó hatóságaihoz kapcsolódó e-mail címet célzott meg. A metaadatok elemzése kimutatta, hogy legalább egy csali dokumentumot 2026. január 27-én hoztak létre, ami tovább hangsúlyozza a sebezhetőség gyors működőképessé válását.
WebDAV-alapú kézbesítés és végső hasznos teher végrehajtása
Az elemzés kimutatta, hogy a rosszindulatú dokumentum Microsoft Office-ban történő megnyitása WebDAV-kapcsolatot indít el egy külső erőforrással. Ez a interakció letölt egy beágyazott programkódot tartalmazó, parancsikon stílusú nevű fájlt, amely ezután lekér és végrehajt egy további hasznos adatot.
Ez a folyamat végső soron a PixyNetLoader fertőzési láncát tükrözi, ami a COVENANT keretrendszer Grunt implantátumának telepítéséhez vezet, és állandó távoli hozzáférést biztosít a támadóknak a feltört rendszerhez.
