Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) CVE-2026-21509 Kwetsbaarheid in Microsoft Office

CVE-2026-21509 Kwetsbaarheid in Microsoft Office

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

De aan Rusland gelieerde, door de staat gesteunde cyberaanvalgroep APT28, ook bekend als UAC-0001, wordt verantwoordelijk gehouden voor een nieuwe golf cyberaanvallen die gebruikmaken van een recent ontdekte kwetsbaarheid in Microsoft Office. De activiteit wordt gevolgd onder de campagnenaam Operation Neusploit en is een van de eerste voorbeelden van daadwerkelijke exploitatie na de openbare bekendmaking van de kwetsbaarheid.

Beveiligingsonderzoekers observeerden dat de groep de kwetsbaarheid op 29 januari 2026 misbruikte, slechts drie dagen nadat Microsoft de kwetsbaarheid had onthuld, en zich richtte op gebruikers in Oekraïne, Slowakije en Roemenië.

CVE-2026-21509: Een beveiligingslek met reële gevolgen

De misbruikte kwetsbaarheid, CVE-2026-21509, heeft een CVSS-score van 7,8 en treft Microsoft Office. De kwetsbaarheid, geclassificeerd als een omzeiling van een beveiligingsfunctie, stelt aanvallers in staat een speciaal geprepareerd Office-document te verspreiden dat zonder de juiste autorisatie kan worden geactiveerd. Dit opent de deur naar het uitvoeren van willekeurige code als onderdeel van een bredere aanvalsketen.

Regiospecifieke tactieken voor sociale manipulatie en ontwijking

De campagne maakte veelvuldig gebruik van op maat gemaakte social engineering. Lokdocumenten werden opgesteld in het Engels, Roemeens, Slowaaks en Oekraïens om de geloofwaardigheid bij lokale doelgroepen te vergroten. De leveringsinfrastructuur was geconfigureerd met server-side beveiligingsmaatregelen, waardoor werd gegarandeerd dat kwaadaardige DLL-payloads alleen werden aangeboden wanneer verzoeken afkomstig waren uit de beoogde geografische regio's en de verwachte User-Agent HTTP-headers bevatten.

Dubbele dropperstrategie via kwaadaardige RTF-bestanden

De kern van de operatie is het gebruik van kwaadaardige RTF-documenten om CVE-2026-21509 te misbruiken en een van de twee droppers te installeren, die elk een ander operationeel doel dienen. De ene dropper biedt de mogelijkheid om e-mails te stelen, terwijl de andere een complexere, meerstaps inbraak initieert die culmineert in de installatie van een volledig functioneel command-and-control-systeem.

MiniDoor: Gerichte diefstal van Outlook-e-mails

De eerste dropper installeert MiniDoor, een C++-gebaseerde DLL die is ontworpen om e-mailgegevens te verzamelen uit Microsoft Outlook-mappen, waaronder Postvak IN, Ongewenste e-mail en Concepten. De gestolen berichten worden doorgestuurd naar twee vastgelegde, door de aanvaller beheerde e-mailaccounts:
ahmeclaw2002@outlook[.]com en ahmeclaw@proton[.]me.

MiniDoor wordt beschouwd als een lichtgewicht variant van NotDoor (ook bekend als GONEPOSTAL), een tool die eerder in september 2025 werd beschreven.

PixyNetLoader en de Covenant-implantaatketen

De tweede dropper, bekend als PixyNetLoader, maakt een aanzienlijk geavanceerdere aanvalssequentie mogelijk. Deze extraheert ingebedde componenten en zorgt voor persistentie door COM-objectkaping. Onder de geëxtraheerde bestanden bevinden zich een shellcode-loader genaamd EhStoreShell.dll en een PNG-afbeelding met de naam SplashScreen.png.

De loader heeft als taak om shellcode die in de image verborgen zit, te extraheren met behulp van steganografie en deze uit te voeren. Deze kwaadaardige logica wordt alleen geactiveerd wanneer de hostomgeving niet wordt herkend als een analyse-sandbox en wanneer de DLL wordt gestart door explorer.exe; anders blijft deze inactief om detectie te voorkomen.

De gedecodeerde shellcode laadt uiteindelijk een ingebedde .NET-assembly: een Grunt-implantaat dat is gekoppeld aan het open-source COVENANT-commando-en-controleframework. Het eerdere gebruik van Covenant Grunt door APT28 werd al gedocumenteerd in september 2025 tijdens Operatie Phantom Net Voxel.

Tactische continuïteit met Operatie Phantom Net Voxel

Hoewel Operation Neusploit de VBA-macro-uitvoeringsmethode van de eerdere campagne vervangt door een DLL-gebaseerde aanpak, blijven de onderliggende technieken grotendeels hetzelfde. Deze omvatten:

  • COM-kaping voor uitvoering en persistentie
  • DLL-proxymechanismen
  • XOR-gebaseerde stringobfuscatie
  • Steganografische inbedding van shellcode-loaders en Covenant Grunt-payloads in PNG-afbeeldingen

Deze continuïteit onderstreept APT28's voorkeur voor het verder ontwikkelen van beproefde methoden in plaats van het volledig overnemen van nieuwe tools.

CERT-UA-waarschuwing bevestigt bredere doelwitten

De campagne viel samen met een waarschuwing van het Computer Emergency Response Team van Oekraïne (CERT-UA), dat meldde dat APT28 de kwetsbaarheid CVE-2026-21509 misbruikte via Microsoft Word-documenten. De activiteit was gericht op meer dan 60 e-mailadressen die gelinkt waren aan centrale overheidsinstanties in Oekraïne. Analyse van de metadata toonde aan dat ten minste één lokdocument op 27 januari 2026 was aangemaakt, wat de snelle operationalisering van de kwetsbaarheid verder onderstreepte.

Levering en uiteindelijke payloaduitvoering via WebDAV

Uit analyse bleek dat het openen van het schadelijke document in Microsoft Office een WebDAV-verbinding met een externe bron activeert. Deze interactie downloadt een bestand met een naam die lijkt op een snelkoppeling en dat ingebedde programmacode bevat. Deze code haalt vervolgens een extra payload op en voert deze uit.

Dit proces weerspiegelt uiteindelijk de infectieketen van PixyNetLoader, wat leidt tot de implementatie van het Grunt-implantaat van het COVENANT-framework en aanvallers permanente toegang op afstand tot het gecompromitteerde systeem verleent.

 

Trending

Meest bekeken

Bezig met laden...