CVE-2026-21509 마이크로소프트 오피스 취약점

러시아와 연계된 국가 지원 위협 행위자 APT28(UAC-0001로도 추적됨)이 최근 공개된 마이크로소프트 오피스 취약점을 악용한 사이버 공격을 감행한 것으로 알려졌습니다. 'Operation Neusploit'이라는 캠페인 이름으로 추적되는 이 활동은 취약점 공개 이후 실제 환경에서 악용된 가장 초기 사례 중 하나입니다.

보안 연구원들은 마이크로소프트가 해당 취약점을 공개한 지 불과 3일 만인 2026년 1월 29일에 해당 그룹이 우크라이나, 슬로바키아, 루마니아 사용자들을 대상으로 이 취약점을 악용하는 것을 관찰했습니다.

CVE-2026-21509: 실제적인 영향을 미치는 보안 기능 우회 취약점

이번 취약점(CVE-2026-21509)은 CVSS 점수 7.8점을 받았으며 Microsoft Office에 영향을 미칩니다. 보안 기능 우회로 분류되는 이 결함은 공격자가 적절한 권한 없이 실행될 수 있는 특수하게 조작된 Office 문서를 배포할 수 있도록 허용하여, 더 광범위한 공격 체인의 일부로 임의 코드 실행을 가능하게 합니다.

지역별 사회 공학 및 회피 전술

이 캠페인은 맞춤형 사회공학 기법에 크게 의존했습니다. 현지 표적들의 신뢰도를 높이기 위해 미끼 문서는 영어뿐 아니라 루마니아어, 슬로바키아어, 우크라이나어로도 제작되었습니다. 배포 인프라는 서버 측 회피 조치로 구성되어, 의도한 지역에서 요청이 발생하고 예상되는 User-Agent HTTP 헤더가 포함된 경우에만 악성 DLL 페이로드가 전송되도록 했습니다.

악성 RTF 파일을 이용한 이중 드롭퍼 전략

이 공격의 핵심은 악성 RTF 문서를 이용하여 CVE-2026-21509 취약점을 악용하고, 각각 다른 공격 목표를 지원하는 두 가지 드로퍼 중 하나를 배포하는 것입니다. 한 드로퍼는 이메일 탈취 기능을 제공하고, 다른 드로퍼는 보다 복잡한 다단계 침입을 시작하여 최종적으로 완전한 기능을 갖춘 명령 및 제어 시스템을 배포합니다.

MiniDoor: Outlook 이메일 표적 탈취

첫 번째 드로퍼는 받은 편지함, 스팸, 임시 보관함 등 Microsoft Outlook 폴더에서 이메일 데이터를 수집하도록 설계된 C++ 기반 DLL인 MiniDoor를 설치합니다. 탈취된 메시지는 공격자가 미리 지정한 두 개의 이메일 계정으로 유출됩니다.
ahmeclaw2002@outlook[.]com 및 ahmeclaw@proton[.]me.

MiniDoor는 2025년 9월에 이미 문서화된 NotDoor(GONEPOSTAL이라고도 함)라는 도구의 경량 파생 버전으로 평가됩니다.

PixyNetLoader와 Covenant Implant Chain

PixyNetLoader라는 두 번째 드로퍼는 훨씬 더 정교한 공격 시퀀스를 가능하게 합니다. 이 드로퍼는 내장된 구성 요소를 추출하고 COM 객체 하이재킹을 통해 지속성을 확보합니다. 추출된 파일 중에는 EhStoreShell.dll이라는 셸코드 로더와 SplashScreen.png라는 PNG 이미지가 포함되어 있습니다.

로더의 역할은 스테가노그래피를 사용하여 이미지 내에 숨겨진 셸코드를 추출하고 실행하는 것입니다. 이 악성 로직은 호스트 환경이 분석 샌드박스로 식별되지 않았을 때와 explorer.exe에 의해 DLL이 실행될 때만 활성화되며, 그렇지 않을 경우에는 탐지를 피하기 위해 비활성 상태로 유지됩니다.

해독된 셸코드는 최종적으로 내장된 .NET 어셈블리, 즉 오픈 소스 COVENANT 명령 및 제어 프레임워크와 관련된 Grunt 임플란트를 로드합니다. APT28이 Covenant Grunt를 사용한 이력은 2025년 9월 Operation Phantom Net Voxel 작전 당시 이미 문서화된 바 있습니다.

팬텀 넷 복셀 작전과의 전술적 연속성

Neusploit 작전은 이전 캠페인의 VBA 매크로 실행 방식을 DLL 기반 방식으로 대체했지만, 기본 기술은 대부분 동일하게 유지됩니다. 이러한 기술에는 다음이 포함됩니다.

• 실행 및 지속성을 위한 COM 하이재킹
• DLL 프록싱 메커니즘
• XOR 기반 문자열 난독화
• PNG 이미지 내에 셸코드 로더 및 코버넌트 그런트 페이로드를 스테가노그래피 방식으로 삽입하는 방법

이러한 연속성은 APT28이 완전히 새로운 도구를 도입하기보다는 검증된 공격 기법을 발전시키는 것을 선호한다는 점을 보여줍니다.

CERT-UA 경고, 광범위한 표적 공격 확인

이번 공격 캠페인은 우크라이나 컴퓨터 비상 대응팀(CERT-UA)이 APT28이 마이크로소프트 워드 문서를 통해 CVE-2026-21509 취약점을 악용하고 있다고 경고한 시점에 발생했습니다. 공격 대상은 우크라이나 중앙 정부 기관과 관련된 60개 이상의 이메일 주소였습니다. 메타데이터 분석 결과, 최소 한 개의 미끼 문서가 2026년 1월 27일에 생성된 것으로 나타나, 해당 취약점이 얼마나 신속하게 악용되었는지를 보여줍니다.

WebDAV 기반 전달 및 최종 페이로드 실행

분석 결과, 마이크로소프트 오피스에서 악성 문서를 열면 외부 리소스에 대한 WebDAV 연결이 트리거되는 것으로 나타났습니다. 이 상호 작용을 통해 바로 가기 형식의 이름을 가진 파일이 다운로드되는데, 이 파일에는 프로그램 코드가 내장되어 있으며, 이후 추가 페이로드를 검색하여 실행합니다.

이 과정은 궁극적으로 PixyNetLoader 감염 과정을 그대로 따라가며, COVENANT 프레임워크의 Grunt 임플란트 배포로 이어져 공격자에게 감염된 시스템에 대한 지속적인 원격 액세스 권한을 부여합니다.