CVE-2026-21509 ចំណុចខ្សោយរបស់ Microsoft Office

ភ្នាក់ងារគំរាមកំហែង APT28 ដែលឧបត្ថម្ភដោយរដ្ឋដែលមានទំនាក់ទំនងជាមួយប្រទេសរុស្ស៊ី ដែលត្រូវបានតាមដានថាជា UAC-0001 ត្រូវបានគេសន្មតថាជារលកថ្មីនៃការវាយប្រហារតាមអ៊ីនធឺណិតដោយទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះរបស់ Microsoft Office ដែលទើបនឹងបង្ហាញ។ សកម្មភាពនេះត្រូវបានតាមដានក្រោមឈ្មោះយុទ្ធនាការ Operation Neusploit ហើយសម្គាល់ឧទាហរណ៍ដំបូងបំផុតមួយនៃការកេងប្រវ័ញ្ចនៅក្នុងព្រៃបន្ទាប់ពីការបង្ហាញជាសាធារណៈ។

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានសង្កេតឃើញក្រុមនេះកំពុងប្រើប្រាស់កំហុសនេះនៅថ្ងៃទី 29 ខែមករា ឆ្នាំ 2026 ត្រឹមតែបីថ្ងៃបន្ទាប់ពីក្រុមហ៊ុន Microsoft បានបង្ហាញពីភាពងាយរងគ្រោះនេះ ដោយកំណត់គោលដៅអ្នកប្រើប្រាស់នៅទូទាំងប្រទេសអ៊ុយក្រែន ស្លូវ៉ាគី និងរ៉ូម៉ានី។

CVE-2026-21509: ការរំលងមុខងារសុវត្ថិភាពជាមួយនឹងផលប៉ះពាល់ក្នុងពិភពពិត

ចំណុចខ្សោយដែលត្រូវបានកេងប្រវ័ញ្ចគឺ CVE-2026-21509 មានពិន្ទុ CVSS 7.8 និងប៉ះពាល់ដល់ Microsoft Office។ ចំណុចខ្សោយនេះត្រូវបានចាត់ថ្នាក់ជាការរំលងមុខងារសុវត្ថិភាព អនុញ្ញាតឱ្យអ្នកវាយប្រហារចែកចាយឯកសារ Office ដែលបង្កើតឡើងជាពិសេស ដែលអាចត្រូវបានបង្កឡើងដោយគ្មានការអនុញ្ញាតត្រឹមត្រូវ ដែលបើកទ្វារឱ្យមានការប្រតិបត្តិកូដតាមអំពើចិត្តជាផ្នែកមួយនៃខ្សែសង្វាក់វាយប្រហារកាន់តែទូលំទូលាយ។

វិស្វកម្មសង្គម និងយុទ្ធសាស្ត្រគេចវេសជាក់លាក់តាមតំបន់

យុទ្ធនាការនេះពឹងផ្អែកយ៉ាងខ្លាំងទៅលើវិស្វកម្មសង្គមដែលត្រូវបានរៀបចំឡើងតាមតម្រូវការ។ ឯកសារទាក់ទាញត្រូវបានបង្កើតឡើងជាភាសាអង់គ្លេស ក៏ដូចជាភាសារ៉ូម៉ានី ស្លូវ៉ាគី និងអ៊ុយក្រែន ដើម្បីបង្កើនភាពជឿជាក់ក្នុងចំណោមគោលដៅក្នុងស្រុក។ ហេដ្ឋារចនាសម្ព័ន្ធចែកចាយត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមួយនឹងវិធានការគេចវេសនៅផ្នែកម៉ាស៊ីនមេ ដោយធានាថា បន្ទុក DLL ដែលមានគំនិតអាក្រក់ត្រូវបានបម្រើតែនៅពេលដែលសំណើមានប្រភពមកពីតំបន់ភូមិសាស្ត្រដែលចង់បាន និងរួមបញ្ចូលបឋមកថា HTTP របស់ User-Agent ដែលរំពឹងទុក។

យុទ្ធសាស្ត្រ Dual Dropper តាមរយៈឯកសារ RTF ព្យាបាទ

ស្នូលនៃប្រតិបត្តិការនេះគឺការប្រើប្រាស់ឯកសារ RTF ដែលមានគំនិតអាក្រក់ដើម្បីទាញយកប្រយោជន៍ពី CVE-2026-21509 និងដាក់ពង្រាយឧបករណ៍ទម្លាក់មេរោគមួយក្នុងចំណោមពីរ ដែលនីមួយៗគាំទ្រគោលបំណងប្រតិបត្តិការផ្សេងៗគ្នា។ ឧបករណ៍ទម្លាក់មេរោគមួយផ្តល់នូវសមត្ថភាពលួចអ៊ីមែល ខណៈពេលដែលឧបករណ៍មួយទៀតផ្តួចផ្តើមការឈ្លានពានច្រើនដំណាក់កាលដែលស្មុគស្មាញជាងមុន ដែលឈានដល់ការដាក់ពង្រាយឧបករណ៍បង្កប់ពាក្យបញ្ជា និងគ្រប់គ្រងដែលមានមុខងារពេញលេញ។

MiniDoor៖ ការលួចអ៊ីមែល Outlook ដែលមានគោលដៅ

កម្មវិធី​ទម្លាក់​សារ​ដំបូង​ដំឡើង MiniDoor ដែល​ជា DLL ដែល​មាន​មូលដ្ឋាន​លើ C++ ដែល​ត្រូវ​បាន​រចនា​ឡើង​ដើម្បី​ប្រមូល​ទិន្នន័យ​អ៊ីមែល​ពី​ថត​ឯកសារ Microsoft Outlook រួម​ទាំង Inbox, Junk និង Drafts។ សារ​ដែល​ត្រូវ​បាន​លួច​ត្រូវ​បាន​ច្រោះ​ទៅ​កាន់​គណនី​អ៊ីមែល​ពីរ​ដែល​គ្រប់គ្រង​ដោយ​អ្នក​វាយប្រហារ៖
ahmeclaw2002@outlook[.]com និង ahmeclaw@proton[.]me។

MiniDoor ត្រូវបានវាយតម្លៃថាជាដេរីវេទម្ងន់ស្រាលនៃ NotDoor (ត្រូវបានគេស្គាល់ផងដែរថាជា GONEPOSTAL) ដែលជាឧបករណ៍មួយដែលត្រូវបានកត់ត្រាទុកពីមុននៅក្នុងខែកញ្ញា ឆ្នាំ 2025។

PixyNetLoader និងខ្សែសង្វាក់ផ្សាំ Covenant

ដំណក់ទីពីរ ដែលគេស្គាល់ថាជា PixyNetLoader ជួយសម្រួលដល់លំដាប់វាយប្រហារកម្រិតខ្ពស់ជាង។ វាស្រង់ចេញសមាសធាតុដែលបានបង្កប់ និងបង្កើតភាពស្ថិតស្ថេរតាមរយៈការប្លន់វត្ថុ COM។ ក្នុងចំណោមឯកសារដែលបានស្រង់ចេញរួមមាន shellcode loader មួយឈ្មោះថា EhStoreShell.dll និងរូបភាព PNG មួយដែលមានឈ្មោះថា SplashScreen.png។

តួនាទីរបស់កម្មវិធីផ្ទុកទិន្នន័យគឺដើម្បីទាញយកលេខកូដសែលដែលលាក់នៅក្នុងរូបភាពដោយប្រើ steganography ហើយប្រតិបត្តិវា។ តក្កវិជ្ជាព្យាបាទនេះធ្វើឱ្យសកម្មតែនៅពេលដែលបរិស្ថានម៉ាស៊ីនមិនត្រូវបានកំណត់ថាជាប្រអប់ខ្សាច់វិភាគ និងនៅពេលដែល DLL ត្រូវបានបើកដំណើរការដោយ explorer.exe បើមិនដូច្នោះទេវានឹងនៅស្ងៀមដើម្បីជៀសវាងការរកឃើញ។

កូដសែលដែលបានឌិគ្រីបនៅទីបំផុតផ្ទុកការផ្គុំ .NET ដែលបានបង្កប់៖ ការបង្កប់ Grunt ដែលភ្ជាប់ជាមួយក្របខ័ណ្ឌបញ្ជា និងត្រួតពិនិត្យ COVENANT ប្រភពបើកចំហ។ ការប្រើប្រាស់ Covenant Grunt ពីមុនរបស់ APT28 ត្រូវបានកត់ត្រាទុកពីមុននៅក្នុងខែកញ្ញា ឆ្នាំ 2025 ក្នុងអំឡុងពេលប្រតិបត្តិការ Phantom Net Voxel។

ការបន្តយុទ្ធសាស្ត្រជាមួយប្រតិបត្តិការ Phantom Net Voxel

ខណៈពេលដែលប្រតិបត្តិការ Neusploit ជំនួសវិធីសាស្ត្រប្រតិបត្តិម៉ាក្រូ VBA របស់យុទ្ធនាការមុនជាមួយនឹងវិធីសាស្ត្រផ្អែកលើ DLL បច្ចេកទេសមូលដ្ឋានភាគច្រើននៅតែស្របគ្នា។ ទាំងនេះរួមមាន៖

• ការលួចចូល COM សម្រាប់ការប្រតិបត្តិ និងការបន្ត
• យន្តការ​ប្រូកស៊ី DLL
• ការបិទបាំងខ្សែអក្សរដែលមានមូលដ្ឋានលើ XOR
• ការបង្កប់ Steganographic នៃឧបករណ៍ផ្ទុក shellcode និង payloads Covenant Grunt នៅក្នុងរូបភាព PNG

ភាពជាប់លាប់នេះបង្ហាញពីចំណង់ចំណូលចិត្តរបស់ APT28 ចំពោះការវិវត្តនៃសិប្បកម្មដែលបានបញ្ជាក់ជាជាងការទទួលយកឧបករណ៍ថ្មីទាំងស្រុង។

ការព្រមានរបស់ CERT-UA បញ្ជាក់ពីការកំណត់គោលដៅកាន់តែទូលំទូលាយ

យុទ្ធនាការនេះស្របគ្នានឹងការណែនាំពីក្រុមឆ្លើយតបបន្ទាន់កុំព្យូទ័រនៃប្រទេសអ៊ុយក្រែន (CERT-UA) ដែលបានព្រមានអំពី APT28 ដែលកេងប្រវ័ញ្ច CVE-2026-21509 តាមរយៈឯកសារ Microsoft Word។ សកម្មភាពនេះផ្តោតលើអាសយដ្ឋានអ៊ីមែលជាង 60 ដែលភ្ជាប់ទៅនឹងអាជ្ញាធរប្រតិបត្តិកណ្តាលនៅក្នុងប្រទេសអ៊ុយក្រែន។ ការវិភាគទិន្នន័យមេតាបានបង្ហាញថាយ៉ាងហោចណាស់ឯកសារល្បួងមួយត្រូវបានបង្កើតឡើងនៅថ្ងៃទី 27 ខែមករា ឆ្នាំ 2026 ដែលគូសបញ្ជាក់បន្ថែមទៀតអំពីប្រតិបត្តិការយ៉ាងឆាប់រហ័សនៃភាពងាយរងគ្រោះ។

ការដឹកជញ្ជូនផ្អែកលើ WebDAV និងការអនុវត្តបន្ទុកការងារចុងក្រោយ

ការវិភាគបានបង្ហាញថា ការបើកឯកសារព្យាបាទនៅក្នុង Microsoft Office បង្កឱ្យមានការតភ្ជាប់ WebDAV ទៅកាន់ធនធានខាងក្រៅ។ អន្តរកម្មនេះទាញយកឯកសារដែលមានឈ្មោះរចនាប័ទ្មផ្លូវកាត់ដែលមានលេខកូដកម្មវិធីដែលបានបង្កប់ ដែលបន្ទាប់មកទាញយក និងប្រតិបត្តិ payload បន្ថែម។

ដំណើរការនេះឆ្លុះបញ្ចាំងពីខ្សែសង្វាក់ឆ្លងមេរោគ PixyNetLoader ដែលនាំឱ្យមានការដាក់ពង្រាយការបង្កប់ Grunt របស់ក្របខ័ណ្ឌ COVENANT និងផ្តល់ឱ្យអ្នកវាយប្រហារនូវការចូលប្រើពីចម្ងាយជាអចិន្ត្រៃយ៍ទៅកាន់ប្រព័ន្ធដែលរងការសម្របសម្រួល។