CVE-2026-21509 Luka w zabezpieczeniach pakietu Microsoft Office
Powiązany z Rosją, sponsorowany przez państwo atak APT28, również śledzony jako UAC-0001, został przypisany do nowej fali cyberataków wykorzystujących niedawno ujawnioną lukę w zabezpieczeniach pakietu Microsoft Office. Aktywność ta jest śledzona pod nazwą kampanii „Operation Neusploit” i stanowi jeden z pierwszych przypadków wykorzystania luki w zabezpieczeniach po jej publicznym ujawnieniu.
Badacze ds. bezpieczeństwa zaobserwowali, że grupa wykorzystuje lukę w zabezpieczeniach jako broń 29 stycznia 2026 r., zaledwie trzy dni po tym, jak Microsoft ujawnił lukę, atakując użytkowników na terenie Ukrainy, Słowacji i Rumunii.
Spis treści
CVE-2026-21509: Obejście funkcji bezpieczeństwa mające realny wpływ na świat
Wykorzystywana luka bezpieczeństwa, CVE-2026-21509, ma ocenę CVSS 7,8 i dotyczy pakietu Microsoft Office. Luka, sklasyfikowana jako obejście funkcji bezpieczeństwa, umożliwia atakującym dostarczenie specjalnie spreparowanego dokumentu pakietu Office, który może zostać uruchomiony bez odpowiedniej autoryzacji, otwierając drogę do wykonania dowolnego kodu w ramach szerszego łańcucha ataku.
Inżynieria społeczna i taktyki unikania specyficzne dla regionu
Kampania w dużej mierze opierała się na specjalnie dobranej inżynierii społecznej. Dokumenty-wabiki stworzono w języku angielskim, rumuńskim, słowackim i ukraińskim, aby zwiększyć wiarygodność wśród lokalnych celów. Infrastrukturę dostarczania skonfigurowano z mechanizmami omijania zabezpieczeń po stronie serwera, co zapewniało, że złośliwe pakiety DLL były dostarczane tylko wtedy, gdy żądania pochodziły z docelowych regionów geograficznych i zawierały oczekiwane nagłówki HTTP User-Agent.
Strategia podwójnego droppera poprzez złośliwe pliki RTF
Podstawą operacji jest wykorzystanie złośliwych dokumentów RTF do wykorzystania luki CVE-2026-21509 i wdrożenia jednego z dwóch dropperów, z których każdy realizuje inny cel operacyjny. Jeden dropper umożliwia kradzież wiadomości e-mail, a drugi inicjuje bardziej złożoną, wieloetapową intruzję, której kulminacją jest wdrożenie w pełni funkcjonalnego implantu dowodzenia i kontroli.
MiniDoor: Celowa kradzież poczty e-mail z Outlooka
Pierwszy dropper instaluje MiniDoor, bibliotekę DLL opartą na C++, przeznaczoną do zbierania danych e-mail z folderów programu Microsoft Outlook, w tym ze skrzynki odbiorczej, spamu i wersji roboczych. Skradzione wiadomości są przesyłane na dwa zakodowane na stałe konta e-mail kontrolowane przez atakującego:
ahmeclaw2002@outlook[.]com i ahmeclaw@proton[.]me.
Ocenia się, że MiniDoor będzie lekką pochodną narzędzia NotDoor (znanego również jako GONEPOSTAL), którego powstanie udokumentowano we wrześniu 2025 r.
PixyNetLoader i łańcuch implantów Covenant
Drugi dropper, znany jako PixyNetLoader, umożliwia znacznie bardziej zaawansowaną sekwencję ataku. Wyodrębnia osadzone komponenty i ustanawia trwałość poprzez przejęcie obiektu COM. Wśród wyodrębnionych plików znajduje się program ładujący kod powłoki o nazwie EhStoreShell.dll oraz obraz PNG o nazwie SplashScreen.png.
Rolą modułu ładującego jest wyodrębnienie ukrytego w obrazie kodu powłoki za pomocą steganografii i wykonanie go. Ta złośliwa logika aktywuje się tylko wtedy, gdy środowisko hosta nie zostanie zidentyfikowane jako piaskownica analityczna i gdy biblioteka DLL zostanie uruchomiona przez explorer.exe, w przeciwnym razie pozostaje uśpiona, aby uniknąć wykrycia.
Zdekodowany kod powłoki ostatecznie ładuje osadzony zestaw .NET: implant Grunt powiązany z otwartym frameworkiem poleceń i kontroli COVENANT. Wcześniejsze użycie Covenant Grunt przez APT28 zostało udokumentowane we wrześniu 2025 roku podczas operacji Phantom Net Voxel.
Ciągłość taktyczna z operacją Phantom Net Voxel
Chociaż w operacji Neusploit metoda wykonywania makr VBA z wcześniejszej kampanii została zastąpiona podejściem opartym na bibliotekach DLL, podstawowe techniki pozostają w dużej mierze spójne. Należą do nich:
- Przejęcie COM w celu wykonania i utrwalenia
- Mechanizmy proxy DLL
- Zaciemnianie ciągów znaków oparte na XOR
- Steganograficzne osadzanie ładowarek kodu powłoki i ładunków Covenant Grunt w obrazach PNG
Ta ciągłość podkreśla preferencję APT28 do rozwijania sprawdzonych metod zamiast stosowania zupełnie nowych narzędzi.
Ostrzeżenie CERT-UA potwierdza szersze ukierunkowanie
Kampania zbiegła się z ostrzeżeniem wydanym przez ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA), który ostrzegał przed atakiem APT28 wykorzystującym lukę CVE-2026-21509 za pośrednictwem dokumentów Microsoft Word. Aktywność ta dotyczyła ponad 60 adresów e-mail powiązanych z centralnymi organami władzy wykonawczej na Ukrainie. Analiza metadanych wykazała, że co najmniej jeden dokument-przynęta został utworzony 27 stycznia 2026 r., co dodatkowo podkreśla szybką operacjonalizację luki.
Dostarczanie oparte na protokole WebDAV i ostateczne wykonanie ładunku
Analiza wykazała, że otwarcie złośliwego dokumentu w pakiecie Microsoft Office uruchamia połączenie WebDAV z zasobem zewnętrznym. Ta interakcja pobiera plik o nazwie w stylu skrótu, zawierający osadzony kod programu, który następnie pobiera i uruchamia dodatkowy ładunek.
Proces ten ostatecznie odzwierciedla łańcuch infekcji PixyNetLoader, prowadząc do wdrożenia implantu Grunt w ramach struktury COVENANT i przyznania atakującym trwałego zdalnego dostępu do zainfekowanego systemu.
