Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) CVE-2026-21509 Dobësi e Microsoft Office

CVE-2026-21509 Dobësi e Microsoft Office

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

APT28, aktori kërcënues i sponsorizuar nga shteti dhe i lidhur me Rusinë, i gjurmuar gjithashtu si UAC-0001, i është atribuar një vale të re sulmesh kibernetike që shfrytëzojnë një dobësi të zbuluar rishtazi të Microsoft Office. Aktiviteti gjurmohet nën emrin e fushatës Operation Neusploit dhe shënon një nga rastet më të hershme të shfrytëzimit të paligjshëm pas zbulimit publik.

Studiuesit e sigurisë e vunë re grupin duke e përdorur këtë të metë si armë më 29 janar 2026, vetëm tre ditë pasi Microsoft zbuloi dobësinë, duke synuar përdoruesit në të gjithë Ukrainën, Sllovakinë dhe Rumaninë.

CVE-2026-21509: Një Anashkalim i Veçorive të Sigurisë me Ndikim në Botën Reale

Dobësia e shfrytëzuar, CVE-2026-21509, mbart një rezultat CVSS prej 7.8 dhe prek Microsoft Office. I klasifikuar si një anashkalim i veçorisë së sigurisë, kjo dobësi u lejon sulmuesve të dorëzojnë një dokument të Office të hartuar posaçërisht që mund të aktivizohet pa autorizimin e duhur, duke hapur derën për ekzekutim arbitrar të kodit si pjesë e një zinxhiri më të gjerë sulmesh.

Inxhinieri Sociale Specifike për Rajonin dhe Taktikat e Shmangies

Fushata u mbështet shumë në inxhinierinë sociale të përshtatur. Dokumentet e joshjes u hartuan në anglisht, si dhe në rumanisht, sllovakisht dhe ukrainisht për të rritur besueshmërinë midis objektivave lokalë. Infrastruktura e shpërndarjes u konfigurua me masa shmangieje nga ana e serverit, duke siguruar që ngarkesat e dëmshme të DLL-së të shërbeheshin vetëm kur kërkesat buronin nga rajonet gjeografike të synuara dhe përfshinin kokat HTTP të pritura të Agjentit të Përdoruesit.

Strategjia e Dyfishtë e Dropperit nëpërmjet Skedarëve RTF të Dëmshëm

Në thelb të operacionit është përdorimi i dokumenteve RTF me qëllim të keq për të shfrytëzuar CVE-2026-21509 dhe për të vendosur një nga dy programet lëshuese (droppers), secili duke mbështetur një objektiv të ndryshëm operacional. Një program lëshues ofron një aftësi për vjedhjen e email-eve, ndërsa tjetri fillon një ndërhyrje më komplekse dhe shumëfazore që kulmon në vendosjen e një implanti komande dhe kontrolli me funksione të plota.

MiniDoor: Vjedhja e Email-eve të Outlook-ut të Synuar

Dropper-i i parë instalon MiniDoor, një skedar DLL të bazuar në C++, i projektuar për të mbledhur të dhëna email-i nga dosjet e Microsoft Outlook, duke përfshirë Inbox, Junk dhe Drafts. Mesazhet e vjedhura nxirren në dy llogari email-i të koduara fort dhe të kontrolluara nga sulmuesit:
ahmeclaw2002@outlook[.]com dhe ahmeclaw@proton[.]me.

MiniDoor vlerësohet të jetë një derivat i lehtë i NotDoor (i njohur edhe si GONEPOSTAL), një mjet i dokumentuar më parë në shtator 2025.

PixyNetLoader dhe Zinxhiri i Implanteve të Covenant-it

Dropper-i i dytë, i njohur si PixyNetLoader, lehtëson një sekuencë sulmesh dukshëm më të avancuar. Ai nxjerr komponentët e integruar dhe krijon qëndrueshmëri përmes rrëmbimit të objektit COM. Midis skedarëve të nxjerrë janë një ngarkues shellcode i quajtur EhStoreShell.dll dhe një imazh PNG i etiketuar SplashScreen.png.

Roli i ngarkuesit është të nxjerrë shellcode-in e fshehur brenda imazhit duke përdorur steganografinë dhe ta ekzekutojë atë. Kjo logjikë keqdashëse aktivizohet vetëm kur mjedisi pritës nuk identifikohet si një sandbox analize dhe kur DLL-ja hapet nga explorer.exe, përndryshe mbetet joaktive për të shmangur zbulimin.

Kodi i dekoduar i shell-it në fund të fundit ngarkon një asamble të integruar .NET: një implant Grunt të lidhur me kornizën e komandës dhe kontrollit COVENANT me burim të hapur. Përdorimi i mëparshëm i Covenant Grunt nga APT28 u dokumentua më parë në shtator 2025 gjatë Operacionit Phantom Net Voxel.

Vazhdimësia Taktike me Operacionin Phantom Net Voxel

Ndërsa Operation Neusploit zëvendëson metodën e ekzekutimit të makrove VBA të fushatës së mëparshme me një qasje të bazuar në DLL, teknikat themelore mbeten kryesisht të qëndrueshme. Këto përfshijnë:

  • Rrëmbimi i COM për ekzekutim dhe qëndrueshmëri
  • Mekanizmat e proxy-t të DLL-së
  • Mbulimi i vargjeve bazuar në XOR
  • Vendosja steganografike e ngarkuesve të shellcode dhe ngarkesave të Covenant Grunt brenda imazheve PNG

Kjo vazhdimësi nxjerr në pah preferencën e APT28 për zhvillimin e zanateve të provuara në vend të miratimit të mjeteve krejtësisht të reja.

Paralajmërimi i CERT-UA konfirmon synim më të gjerë

Fushata përkoi me një këshillë nga Ekipi i Reagimit ndaj Emergjencave Kompjuterike të Ukrainës (CERT-UA), i cili paralajmëroi për shfrytëzimin e CVE-2026-21509 nga APT28 nëpërmjet dokumenteve të Microsoft Word. Aktiviteti kishte në shënjestër më shumë se 60 adresa email-i të lidhura me autoritetet qendrore ekzekutive në Ukrainë. Analiza e meta të dhënave tregoi se të paktën një dokument joshës u krijua më 27 janar 2026, duke nënvizuar më tej funksionalizimin e shpejtë të cenueshmërisë.

Dorëzimi i Bazuar në WebDAV dhe Ekzekutimi Përfundimtar i Ngarkesës

Analiza zbuloi se hapja e dokumentit keqdashës në Microsoft Office shkakton një lidhje WebDAV me një burim të jashtëm. Ky bashkëveprim shkarkon një skedar me një emër në stilin e shkurtores që përmban kodin e programit të integruar, i cili më pas merr dhe ekzekuton një ngarkesë shtesë.

Ky proces në fund të fundit pasqyron zinxhirin e infeksionit PixyNetLoader, duke çuar në vendosjen e implantit Grunt të kornizës COVENANT dhe duke u dhënë sulmuesve akses të vazhdueshëm në distancë në sistemin e kompromentuar.

 

Në trend

Më e shikuara

Po ngarkohet...