Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Vulnerabilitate Microsoft Office CVE-2026-21509

Vulnerabilitate Microsoft Office CVE-2026-21509

Până în Mezo în Amenințare persistentă avansată (APT)
Tradu in:

Actorul cibernetic APT28, sponsorizat de un stat și cu legături cu Rusia, identificat și sub denumirea de UAC-0001, a fost atribuit unui nou val de atacuri cibernetice care au exploatat o vulnerabilitate Microsoft Office recent dezvăluită. Activitatea este urmărită sub numele de campanie Operation Neusploit și marchează unul dintre primele cazuri de exploatare in-the-wild după dezvăluirea publică.

Cercetătorii în domeniul securității au observat grupul transformând vulnerabilitatea în armă pe 29 ianuarie 2026, la doar trei zile după ce Microsoft a dezvăluit vulnerabilitatea, vizând utilizatori din Ucraina, Slovacia și România.

CVE-2026-21509: O ocolire a caracteristicilor de securitate cu impact asupra lumii reale

Vulnerabilitatea exploatată, CVE-2026-21509, are un scor CVSS de 7,8 și afectează Microsoft Office. Clasificată drept o ocolire a unei caracteristici de securitate, defectul permite atacatorilor să livreze un document Office special conceput, care poate fi declanșat fără autorizarea corespunzătoare, deschizând calea executării arbitrare de cod ca parte a unui lanț de atac mai larg.

Inginerie socială și tactici de evitare specifice regiunii

Campania s-a bazat în mare măsură pe inginerie socială personalizată. Documentele Lure au fost redactate atât în engleză, cât și în română, slovacă și ucraineană pentru a crește credibilitatea în rândul țintelor locale. Infrastructura de livrare a fost configurată cu măsuri de evitare a atacurilor pe server, asigurându-se că sarcinile DLL malițioase erau servite numai atunci când cererile proveneau din regiunile geografice vizate și includeau antetele HTTP User-Agent așteptate.

Strategia Dual Dropper prin intermediul fișierelor RTF rău intenționate

În centrul operațiunii se află utilizarea documentelor RTF malițioase pentru a exploata CVE-2026-21509 și a implementa unul dintre cele două dropper-uri, fiecare susținând un obiectiv operațional diferit. Un dropper oferă o capacitate de furt de e-mailuri, în timp ce celălalt inițiază o intruziune mai complexă, în mai multe etape, culminând cu implementarea unui implant complet de comandă și control.

MiniDoor: Furt de e-mailuri Outlook țintit

Primul dropper instalează MiniDoor, o DLL bazată pe C++ concepută pentru a colecta date de e-mail din folderele Microsoft Outlook, inclusiv Inbox, Junk și Drafts. Mesajele furate sunt exfiltrate către două conturi de e-mail controlate de atacatori, codificate hard-code:
ahmeclaw2002@outlook[.]com și ahmeclaw@proton[.]me.

Se consideră că MiniDoor este un derivat ușor al NotDoor (cunoscut și sub numele de GONEPOSTAL), un instrument documentat anterior în septembrie 2025.

PixyNetLoader și Lanțul de Implanturi al Covenantului

Al doilea dropper, cunoscut sub numele de PixyNetLoader, facilitează o secvență de atac semnificativ mai avansată. Acesta extrage componente încorporate și stabilește persistența prin deturnarea obiectelor COM. Printre fișierele extrase se numără un încărcător de shellcode numit EhStoreShell.dll și o imagine PNG etichetată SplashScreen.png.

Rolul încărcătorului este de a extrage codul shell ascuns în imagine folosind steganografia și de a-l executa. Această logică malițioasă se activează doar atunci când mediul gazdă nu este identificat ca un sandbox de analiză și când DLL-ul este lansat de explorer.exe, altfel rămânând inactivă pentru a evita detectarea.

Codul shell decodificat încarcă în cele din urmă un ansamblu .NET încorporat: un implant Grunt asociat cu framework-ul de comandă și control open-source COVENANT. Utilizarea anterioară a Covenant Grunt de către APT28 a fost documentată anterior în septembrie 2025 în timpul Operațiunii Phantom Net Voxel.

Continuitate tactică cu Operațiunea Phantom Net Voxel

Deși Operațiunea Neusploit înlocuiește metoda de execuție a macrocomenzilor VBA din campania anterioară cu o abordare bazată pe DLL, tehnicile subiacente rămân în mare parte consistente. Acestea includ:

  • Deturnarea COM pentru execuție și persistență
  • Mecanisme de proxy DLL
  • Obfuscarea șirurilor bazată pe XOR
  • Integrarea steganografică a încărcătoarelor shellcode și a sarcinilor utile Covenant Grunt în imagini PNG

Această continuitate evidențiază preferința APT28 pentru evoluția meșteșugurilor dovedite, mai degrabă decât pentru adoptarea unor instrumente complet noi.

Avertismentul CERT-UA confirmă o direcționare mai largă

Campania a coincis cu un avertisment din partea Echipei de Răspuns la Urgențe Informatice din Ucraina (CERT-UA), care a avertizat cu privire la exploatarea de către APT28 a vulnerabilității CVE-2026-21509 prin intermediul documentelor Microsoft Word. Activitatea a vizat peste 60 de adrese de e-mail legate de autoritățile executive centrale din Ucraina. Analiza metadatelor a arătat că cel puțin un document de atragere a fost creat pe 27 ianuarie 2026, subliniind în continuare operaționalizarea rapidă a vulnerabilității.

Livrare bazată pe WebDAV și execuție finală a sarcinii utile

Analiza a relevat că deschiderea documentului rău intenționat în Microsoft Office declanșează o conexiune WebDAV la o resursă externă. Această interacțiune descarcă un fișier cu un nume de tip comandă rapidă care conține cod de program încorporat, care apoi preia și execută o sarcină utilă suplimentară.

Acest proces oglindește în cele din urmă lanțul de infecții PixyNetLoader, ducând la implementarea implantului Grunt al framework-ului COVENANT și acordând atacatorilor acces persistent de la distanță la sistemul compromis.

 

Trending

Cele mai văzute

Se încarcă...