CVE-2026-21509 மைக்ரோசாஃப்ட் ஆபிஸ் பாதிப்பு

ரஷ்யாவுடன் தொடர்புடைய அரசு ஆதரவு பெற்ற அச்சுறுத்தல் காரணி APT28, UAC-0001 என்றும் கண்காணிக்கப்படுகிறது, புதிதாக வெளிப்படுத்தப்பட்ட மைக்ரோசாஃப்ட் ஆபிஸ் பாதிப்பைப் பயன்படுத்தி புதிய அலை சைபர் தாக்குதல்களுக்குக் காரணம் என்று கூறப்படுகிறது. இந்த செயல்பாடு ஆபரேஷன் நியூஸ்ப்ளோயிட் என்ற பிரச்சாரப் பெயரில் கண்காணிக்கப்படுகிறது மற்றும் பொது வெளிப்பாட்டிற்குப் பிறகு காட்டுத்தனமான சுரண்டலின் ஆரம்ப நிகழ்வுகளில் ஒன்றாகும்.

உக்ரைன், ஸ்லோவாக்கியா மற்றும் ருமேனியா முழுவதும் உள்ள பயனர்களை குறிவைத்து, மைக்ரோசாப்ட் பாதிப்பை வெளிப்படுத்திய மூன்று நாட்களுக்குப் பிறகு, ஜனவரி 29, 2026 அன்று, குழு இந்தக் குறைபாட்டை ஆயுதமாகக் கொண்டிருப்பதை பாதுகாப்பு ஆராய்ச்சியாளர்கள் கவனித்தனர்.

CVE-2026-21509: நிஜ உலக தாக்கத்துடன் கூடிய பாதுகாப்பு அம்ச பைபாஸ்

சுரண்டப்பட்ட பாதிப்பு, CVE-2026-21509, 7.8 என்ற CVSS மதிப்பெண்ணைக் கொண்டுள்ளது மற்றும் மைக்ரோசாஃப்ட் ஆபிஸை பாதிக்கிறது. பாதுகாப்பு அம்ச பைபாஸாக வகைப்படுத்தப்பட்ட இந்த குறைபாடு, தாக்குதல் நடத்துபவர்கள் சிறப்பாக வடிவமைக்கப்பட்ட அலுவலக ஆவணத்தை வழங்க அனுமதிக்கிறது, இது முறையான அங்கீகாரம் இல்லாமல் தூண்டப்படலாம், இது ஒரு பரந்த தாக்குதல் சங்கிலியின் ஒரு பகுதியாக தன்னிச்சையான குறியீடு செயல்படுத்தலுக்கான கதவைத் திறக்கிறது.

பிராந்திய-குறிப்பிட்ட சமூக பொறியியல் மற்றும் தவிர்க்கும் தந்திரோபாயங்கள்

இந்தப் பிரச்சாரம், வடிவமைக்கப்பட்ட சமூக பொறியியலை பெரிதும் நம்பியிருந்தது. உள்ளூர் இலக்குகளிடையே நம்பகத்தன்மையை அதிகரிக்க, ஆங்கிலம் மற்றும் ரோமானியன், ஸ்லோவாக் மற்றும் உக்ரேனிய மொழிகளில் கவர்ச்சி ஆவணங்கள் வடிவமைக்கப்பட்டன. டெலிவரி உள்கட்டமைப்பு சர்வர் பக்க ஏய்ப்பு நடவடிக்கைகளுடன் கட்டமைக்கப்பட்டது, இது நோக்கம் கொண்ட புவியியல் பகுதிகளிலிருந்து கோரிக்கைகள் உருவாகும் போது மட்டுமே தீங்கிழைக்கும் DLL பேலோடுகள் வழங்கப்படுவதை உறுதிசெய்தது மற்றும் எதிர்பார்க்கப்படும் பயனர்-முகவர் HTTP தலைப்புகளை உள்ளடக்கியது.

தீங்கிழைக்கும் RTF கோப்புகள் வழியாக இரட்டை டிராப்பர் உத்தி

இந்த செயல்பாட்டின் மையத்தில், CVE-2026-21509 ஐ சுரண்டுவதற்கும், இரண்டு டிராப்பர்களில் ஒன்றைப் பயன்படுத்துவதற்கும் தீங்கிழைக்கும் RTF ஆவணங்களைப் பயன்படுத்துவதாகும், ஒவ்வொன்றும் வெவ்வேறு செயல்பாட்டு நோக்கத்தை ஆதரிக்கின்றன. ஒரு டிராப்பர் மின்னஞ்சல் திருட்டு திறனை வழங்குகிறது, மற்றொன்று மிகவும் சிக்கலான, பல-நிலை ஊடுருவலைத் தொடங்குகிறது, இது முழு அம்சங்களுடன் கூடிய கட்டளை மற்றும் கட்டுப்பாட்டு உள்வைப்பைப் பயன்படுத்துவதில் உச்சத்தை அடைகிறது.

மினிடோர்: அவுட்லுக் மின்னஞ்சல் திருட்டை குறிவைத்தல்

முதல் டிராப்பர், இன்பாக்ஸ், ஜங்க் மற்றும் டிராஃப்ட்ஸ் உள்ளிட்ட மைக்ரோசாஃப்ட் அவுட்லுக் கோப்புறைகளிலிருந்து மின்னஞ்சல் தரவை சேகரிக்க வடிவமைக்கப்பட்ட C++-அடிப்படையிலான DLL ஆன MiniDoor ஐ நிறுவுகிறது. திருடப்பட்ட செய்திகள் இரண்டு ஹார்ட்-கோட் செய்யப்பட்ட தாக்குபவர் கட்டுப்படுத்தும் மின்னஞ்சல் கணக்குகளுக்கு அனுப்பப்படுகின்றன:
ahmeclaw2002@outlook[.]com மற்றும் ahmeclaw@proton[.]me.

மினிடோர் என்பது செப்டம்பர் 2025 இல் ஆவணப்படுத்தப்பட்ட NotDoor (GONEPOSTAL என்றும் அழைக்கப்படுகிறது) இன் இலகுரக வழித்தோன்றலாக மதிப்பிடப்படுகிறது.

PixyNetLoader மற்றும் Covenant Implant Chain

PixyNetLoader எனப்படும் இரண்டாவது டிராப்பர், கணிசமாக மேம்பட்ட தாக்குதல் வரிசையை எளிதாக்குகிறது. இது உட்பொதிக்கப்பட்ட கூறுகளைப் பிரித்தெடுத்து COM பொருள் கடத்தல் மூலம் நிலைத்தன்மையை நிறுவுகிறது. பிரித்தெடுக்கப்பட்ட கோப்புகளில் EhStoreShell.dll என்ற ஷெல் குறியீடு ஏற்றி மற்றும் SplashScreen.png என்று பெயரிடப்பட்ட PNG படம் ஆகியவை அடங்கும்.

ஸ்டீகனோகிராஃபியைப் பயன்படுத்தி படத்திற்குள் மறைந்திருக்கும் ஷெல் குறியீட்டைப் பிரித்தெடுத்து அதைச் செயல்படுத்துவதே லோடரின் பங்கு. ஹோஸ்ட் சூழல் ஒரு பகுப்பாய்வு சாண்ட்பாக்ஸ் என அடையாளம் காணப்படாதபோதும், எக்ஸ்ப்ளோரர்.எக்ஸ் ஆல் டிஎல்எல் தொடங்கப்படும்போதும் மட்டுமே இந்த தீங்கிழைக்கும் தர்க்கம் செயல்படுத்தப்படும், இல்லையெனில் கண்டறிதலைத் தவிர்க்க செயலற்ற நிலையில் இருக்கும்.

டிகோட் செய்யப்பட்ட ஷெல்குறியீடு இறுதியில் ஒரு உட்பொதிக்கப்பட்ட .NET அசெம்பிளியை ஏற்றுகிறது: திறந்த மூல COVENANT கட்டளை மற்றும் கட்டுப்பாட்டு கட்டமைப்புடன் தொடர்புடைய ஒரு Grunt உள்வைப்பு. APT28 இன் Covenant Grunt இன் முந்தைய பயன்பாடு செப்டம்பர் 2025 இல் ஆபரேஷன் Phantom Net Voxel இன் போது ஆவணப்படுத்தப்பட்டது.

ஆபரேஷன் பாண்டம் நெட் வோக்சலுடன் தந்திரோபாய தொடர்ச்சி

ஆபரேஷன் நியூஸ்ப்ளோயிட் முந்தைய பிரச்சாரத்தின் VBA மேக்ரோ செயல்படுத்தல் முறையை DLL- அடிப்படையிலான அணுகுமுறையுடன் மாற்றியமைத்தாலும், அடிப்படை நுட்பங்கள் பெரும்பாலும் சீரானதாகவே உள்ளன. இவற்றில் அடங்கும்:

• செயல்படுத்தல் மற்றும் நிலைத்தன்மைக்காக COM கடத்தல்
• DLL ப்ராக்ஸிங் வழிமுறைகள்
• XOR-அடிப்படையிலான சர தெளிவின்மை
• PNG படங்களுக்குள் ஷெல்கோட் லோடர்கள் மற்றும் கோவெனண்ட் கிரண்ட் பேலோடுகளின் ஸ்டீகனோகிராஃபிக் உட்பொதித்தல்.

இந்தத் தொடர்ச்சி, முற்றிலும் புதிய கருவிகளை ஏற்றுக்கொள்வதற்குப் பதிலாக, நிரூபிக்கப்பட்ட வர்த்தகக் கைவினைப்பொருளை உருவாக்குவதற்கான APT28 இன் விருப்பத்தை எடுத்துக்காட்டுகிறது.

CERT-UA எச்சரிக்கை பரந்த இலக்கினை உறுதிப்படுத்துகிறது

இந்த பிரச்சாரம், உக்ரைனின் கணினி அவசரநிலை பதிலளிப்பு குழுவின் (CERT-UA) ஆலோசனையுடன் ஒத்துப்போனது, இது APT28, மைக்ரோசாஃப்ட் வேர்டு ஆவணங்கள் வழியாக CVE-2026-21509 ஐ சுரண்டுவதாக எச்சரித்தது. இந்த செயல்பாடு உக்ரைனில் உள்ள மத்திய நிர்வாக அதிகாரிகளுடன் இணைக்கப்பட்ட 60 க்கும் மேற்பட்ட மின்னஞ்சல் முகவரிகளை இலக்காகக் கொண்டது. மெட்டாடேட்டா பகுப்பாய்வு, ஜனவரி 27, 2026 அன்று குறைந்தது ஒரு கவர்ச்சி ஆவணமாவது உருவாக்கப்பட்டதைக் காட்டியது, இது பாதிப்பின் விரைவான செயல்பாட்டை மேலும் அடிக்கோடிட்டுக் காட்டுகிறது.

WebDAV- அடிப்படையிலான டெலிவரி மற்றும் இறுதி பேலோட் செயல்படுத்தல்

மைக்ரோசாஃப்ட் ஆபிஸில் தீங்கிழைக்கும் ஆவணத்தைத் திறப்பது வெளிப்புற ஆதாரத்துடன் WebDAV இணைப்பைத் தூண்டுகிறது என்பதை பகுப்பாய்வு வெளிப்படுத்தியது. இந்த தொடர்பு உட்பொதிக்கப்பட்ட நிரல் குறியீட்டைக் கொண்ட குறுக்குவழி-பாணி பெயரைக் கொண்ட ஒரு கோப்பைப் பதிவிறக்குகிறது, பின்னர் அது கூடுதல் பேலோடை மீட்டெடுத்து செயல்படுத்துகிறது.

இந்த செயல்முறை இறுதியில் PixyNetLoader தொற்று சங்கிலியை பிரதிபலிக்கிறது, இது COVENANT கட்டமைப்பின் Grunt உள்வைப்பைப் பயன்படுத்துவதற்கும், தாக்குபவர்களுக்கு சமரசம் செய்யப்பட்ட அமைப்பிற்கு தொடர்ச்சியான தொலைதூர அணுகலை வழங்குவதற்கும் வழிவகுக்கிறது.