Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) Zraniteľnosť balíka Microsoft Office CVE-2026-21509

Zraniteľnosť balíka Microsoft Office CVE-2026-21509

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT)
Preložiť do:

Ruskom napojená a štátom sponzorovaná zraniteľnosť APT28, sledovaná aj ako UAC-0001, bola pripísaná novej vlne kybernetických útokov využívajúcich novoodhalenú zraniteľnosť balíka Microsoft Office. Aktivita je sledovaná pod názvom kampane Operácia Neusploit a predstavuje jeden z prvých prípadov divokého zneužívania po zverejnení.

Bezpečnostní experti pozorovali skupinu, ktorá zneužívala chybu ako zbraň 29. januára 2026, len tri dni po tom, čo spoločnosť Microsoft odhalila zraniteľnosť, a zamerala sa na používateľov na Ukrajine, Slovensku a v Rumunsku.

CVE-2026-21509: Obídenie bezpečnostných funkcií s dopadom na reálny svet

Zneužitá zraniteľnosť CVE-2026-21509 má skóre CVSS 7,8 a ovplyvňuje Microsoft Office. Chyba, klasifikovaná ako obídenie bezpečnostných funkcií, umožňuje útočníkom doručiť špeciálne vytvorený dokument balíka Office, ktorý je možné spustiť bez riadneho oprávnenia, čím otvára dvere spusteniu ľubovoľného kódu ako súčasti širšieho reťazca útokov.

Regionálne špecifické sociálne inžinierstvo a taktiky úniku

Kampaň sa vo veľkej miere spoliehala na prispôsobené sociálne inžinierstvo. Lákavé dokumenty boli vytvorené v angličtine, ako aj v rumunčine, slovenčine a ukrajinčine, aby sa zvýšila dôveryhodnosť medzi lokálnymi cieľmi. Doručovacia infraštruktúra bola nakonfigurovaná s opatreniami na obchádzanie na strane servera, čím sa zabezpečilo, že škodlivé užitočné dáta DLL boli obsluhované iba vtedy, keď požiadavky pochádzali z určených geografických oblastí a obsahovali očakávané HTTP hlavičky User-Agent.

Stratégia duálneho droppera prostredníctvom škodlivých súborov RTF

Jadrom operácie je použitie škodlivých RTF dokumentov na zneužitie škodlivého škodlivého kódu CVE-2026-21509 a nasadenie jedného z dvoch dropperov, z ktorých každý podporuje iný operačný cieľ. Jeden dropper poskytuje možnosť krádeže e-mailov, zatiaľ čo druhý iniciuje zložitejší, viacstupňový prienik, ktorý vyvrcholí nasadením plnohodnotného implantátu velenia a riadenia.

MiniDoor: Cielená krádež e-mailov v Outlooku

Prvý dropper nainštaluje MiniDoor, knižnicu DLL založenú na jazyku C++, ktorá je určená na zhromažďovanie e-mailových údajov z priečinkov programu Microsoft Outlook vrátane priečinkov Doručená pošta, Nevyžiadaná pošta a Koncepty. Ukradnuté správy sú prenášané do dvoch pevne naprogramovaných e-mailových účtov ovládaných útočníkom:
ahmeclaw2002@outlook[.]com a ahmeclaw@proton[.]me.

MiniDoor je považovaný za ľahký derivát nástroja NotDoor (známeho aj ako GONEPOSTAL), ktorý bol predtým zdokumentovaný v septembri 2025.

PixyNetLoader a reťaz implantátov Covenantu

Druhý dropper, známy ako PixyNetLoader, umožňuje podstatne pokročilejšiu útočnú sekvenciu. Extrahuje vložené komponenty a zabezpečuje perzistenciu prostredníctvom únosu COM objektov. Medzi extrahovanými súbormi je zavádzač shellcode s názvom EhStoreShell.dll a obrázok PNG s označením SplashScreen.png.

Úlohou zavádzača je extrahovať shellcode skrytý v obraze pomocou steganografie a spustiť ho. Táto škodlivá logika sa aktivuje iba vtedy, keď hostiteľské prostredie nie je identifikované ako analytický sandbox a keď je knižnica DLL spustená súborom explorer.exe, inak zostáva neaktívna, aby sa predišlo detekcii.

Dekódovaný shellcode nakoniec načíta vstavanú zostavu .NET: implantát Grunt spojený s open-source frameworkom COVENANT. Predchádzajúce použitie Covenant Grunt zo strany APT28 bolo predtým zdokumentované v septembri 2025 počas operácie Phantom Net Voxel.

Taktická kontinuita s operáciou Phantom Net Voxel

Hoci operácia Neusploit nahrádza metódu vykonávania makier VBA z predchádzajúcej kampane prístupom založeným na knižniciach DLL, základné techniky zostávajú do značnej miery konzistentné. Patria sem:

  • Únos COM servera kvôli vykonávaniu a perzistencii
  • Mechanizmy proxy DLL
  • Zahmlievanie reťazcov založené na XOR
  • Steganografické vkladanie zavádzačov shellcode a dát Covenant Grunt do obrázkov PNG

Táto kontinuita zdôrazňuje preferenciu spoločnosti APT28 pre vývoj osvedčených remeselných postupov pred zavádzaním úplne nových nástrojov.

Varovanie CERT-UA potvrdzuje širšie zacielenie

Kampaň sa zhodovala s upozornením Ukrajinské jednotky pre reakciu na počítačové núdzové situácie (CERT-UA), ktorá varovala pred APT28 zneužívajúcim zraniteľnosť CVE-2026-21509 prostredníctvom dokumentov programu Microsoft Word. Aktivita bola zameraná na viac ako 60 e-mailových adries prepojených s ústrednými orgánmi výkonnej moci na Ukrajine. Analýza metadát ukázala, že 27. januára 2026 bol vytvorený aspoň jeden lákavý dokument, čo ďalej zdôrazňuje rýchlu operacionalizáciu tejto zraniteľnosti.

Doručovanie a vykonanie finálneho užitočného zaťaženia na základe WebDAV

Analýza odhalila, že otvorenie škodlivého dokumentu v balíku Microsoft Office spúšťa pripojenie WebDAV k externému zdroju. Táto interakcia stiahne súbor s názvom v štýle skratky obsahujúcim vložený programový kód, ktorý potom načíta a spustí dodatočnú dátovú záťaž.

Tento proces v konečnom dôsledku odzrkadľuje reťazec infekcie PixyNetLoader, čo vedie k nasadeniu implantátu Grunt frameworku COVENANT a poskytuje útočníkom trvalý vzdialený prístup k napadnutému systému.

 

Trendy

Najviac videné

Načítava...