CVE-2026-21509 మైక్రోసాఫ్ట్ ఆఫీస్ దుర్బలత్వం

రష్యాతో అనుసంధానించబడిన రాష్ట్ర-ప్రాయోజిత బెదిరింపు కారకుడు APT28, UAC-0001 గా కూడా ట్రాక్ చేయబడింది, కొత్తగా వెల్లడైన మైక్రోసాఫ్ట్ ఆఫీస్ దుర్బలత్వాన్ని ఉపయోగించుకుని సైబర్ దాడుల తాజా తరంగానికి కారణమని చెప్పబడింది. ఈ కార్యాచరణ ఆపరేషన్ న్యూస్‌ప్లోయిట్ అనే ప్రచార పేరుతో ట్రాక్ చేయబడుతుంది మరియు బహిరంగంగా బహిర్గతం చేసిన తర్వాత వైల్డ్ దోపిడీకి సంబంధించిన తొలి సందర్భాలలో ఒకటిగా గుర్తించబడుతుంది.

మైక్రోసాఫ్ట్ ఈ దుర్బలత్వాన్ని వెల్లడించిన మూడు రోజుల తర్వాత, ఉక్రెయిన్, స్లోవేకియా మరియు రొమేనియా అంతటా వినియోగదారులను లక్ష్యంగా చేసుకుని, జనవరి 29, 2026న ఆ బృందం ఈ లోపాన్ని ఆయుధంగా ఉపయోగిస్తున్నట్లు భద్రతా పరిశోధకులు గమనించారు.

CVE-2026-21509: వాస్తవ ప్రపంచ ప్రభావంతో భద్రతా ఫీచర్ బైపాస్

దోపిడీకి గురైన దుర్బలత్వం, CVE-2026-21509, 7.8 CVSS స్కోర్‌ను కలిగి ఉంది మరియు మైక్రోసాఫ్ట్ ఆఫీస్‌ను ప్రభావితం చేస్తుంది. భద్రతా ఫీచర్ బైపాస్‌గా వర్గీకరించబడిన ఈ లోపం, దాడి చేసేవారు ప్రత్యేకంగా రూపొందించిన ఆఫీస్ డాక్యుమెంట్‌ను అందించడానికి అనుమతిస్తుంది, ఇది సరైన అనుమతి లేకుండా ట్రిగ్గర్ చేయబడుతుంది, విస్తృత దాడి గొలుసులో భాగంగా ఏకపక్ష కోడ్ అమలుకు తలుపులు తెరుస్తుంది.

ప్రాంత-నిర్దిష్ట సామాజిక ఇంజనీరింగ్ మరియు ఎగవేత వ్యూహాలు

ఈ ప్రచారం ఎక్కువగా అనుకూలీకరించిన సామాజిక ఇంజనీరింగ్‌పై ఆధారపడింది. స్థానిక లక్ష్యాలలో విశ్వసనీయతను పెంచడానికి ఇంగ్లీష్‌తో పాటు రొమేనియన్, స్లోవాక్ మరియు ఉక్రేనియన్ భాషలలో లూర్ డాక్యుమెంట్లను రూపొందించారు. డెలివరీ మౌలిక సదుపాయాలు సర్వర్-సైడ్ ఎగవేత చర్యలతో కాన్ఫిగర్ చేయబడ్డాయి, ఉద్దేశించిన భౌగోళిక ప్రాంతాల నుండి అభ్యర్థనలు ఉద్భవించినప్పుడు మరియు అంచనా వేసిన యూజర్-ఏజెంట్ HTTP హెడర్‌లను కలిగి ఉన్నప్పుడు మాత్రమే హానికరమైన DLL పేలోడ్‌లు అందించబడుతున్నాయని నిర్ధారిస్తుంది.

హానికరమైన RTF ఫైల్స్ ద్వారా డ్యూయల్ డ్రాపర్ వ్యూహం

ఈ ఆపరేషన్ యొక్క ప్రధాన ఉద్దేశ్యం హానికరమైన RTF పత్రాలను ఉపయోగించి CVE-2026-21509 ను దోపిడీ చేయడం మరియు రెండు డ్రాప్పర్లలో ఒకదాన్ని అమలు చేయడం, ప్రతి ఒక్కటి వేర్వేరు కార్యాచరణ లక్ష్యానికి మద్దతు ఇస్తుంది. ఒక డ్రాప్పర్ ఇమెయిల్ దొంగతనం సామర్థ్యాన్ని అందిస్తుంది, మరొకటి మరింత సంక్లిష్టమైన, బహుళ-దశల చొరబాటును ప్రారంభిస్తుంది, ఇది పూర్తి-ఫీచర్ చేయబడిన కమాండ్-అండ్-కంట్రోల్ ఇంప్లాంట్ యొక్క విస్తరణలో ముగుస్తుంది.

మినీడోర్: లక్ష్యంగా చేసుకున్న అవుట్‌లుక్ ఇమెయిల్ దొంగతనం

మొదటి డ్రాపర్ ఇన్‌బాక్స్, జంక్ మరియు డ్రాఫ్ట్‌లతో సహా మైక్రోసాఫ్ట్ ఔట్‌లుక్ ఫోల్డర్‌ల నుండి ఇమెయిల్ డేటాను సేకరించడానికి రూపొందించబడిన C++-ఆధారిత DLL అయిన MiniDoorని ఇన్‌స్టాల్ చేస్తుంది. దొంగిలించబడిన సందేశాలు రెండు హార్డ్-కోడెడ్ దాడి చేసేవారి-నియంత్రిత ఇమెయిల్ ఖాతాలకు పంపబడతాయి:
ahmeclaw2002@outlook[.]com మరియు ahmeclaw@proton[.]me.

మినీడోర్ అనేది నోట్‌డోర్ (GONEPOSTAL అని కూడా పిలుస్తారు) యొక్క తేలికైన ఉత్పన్నం అని అంచనా వేయబడింది, ఇది గతంలో సెప్టెంబర్ 2025లో డాక్యుమెంట్ చేయబడిన సాధనం.

PixyNetLoader మరియు ఒడంబడిక ఇంప్లాంట్ చైన్

PixyNetLoader అని పిలువబడే రెండవ డ్రాపర్, గణనీయంగా మరింత అధునాతన దాడి క్రమాన్ని సులభతరం చేస్తుంది. ఇది ఎంబెడెడ్ భాగాలను సంగ్రహిస్తుంది మరియు COM ఆబ్జెక్ట్ హైజాకింగ్ ద్వారా నిలకడను ఏర్పరుస్తుంది. సంగ్రహించబడిన ఫైళ్ళలో EhStoreShell.dll అనే షెల్‌కోడ్ లోడర్ మరియు SplashScreen.png అని లేబుల్ చేయబడిన PNG చిత్రం ఉన్నాయి.

లోడర్ పాత్ర స్టెగానోగ్రఫీని ఉపయోగించి ఇమేజ్‌లో దాగి ఉన్న షెల్‌కోడ్‌ను సంగ్రహించి దానిని అమలు చేయడం. హోస్ట్ ఎన్విరాన్‌మెంట్ విశ్లేషణ శాండ్‌బాక్స్‌గా గుర్తించబడనప్పుడు మరియు explorer.exe ద్వారా DLL ప్రారంభించబడినప్పుడు మాత్రమే ఈ హానికరమైన లాజిక్ యాక్టివేట్ అవుతుంది, లేకుంటే గుర్తింపును నివారించడానికి నిద్రాణంగా ఉంటుంది.

డీకోడ్ చేయబడిన షెల్‌కోడ్ చివరికి ఎంబెడెడ్ .NET అసెంబ్లీని లోడ్ చేస్తుంది: ఓపెన్-సోర్స్ COVENANT కమాండ్-అండ్-కంట్రోల్ ఫ్రేమ్‌వర్క్‌తో అనుబంధించబడిన గ్రంట్ ఇంప్లాంట్. APT28 యొక్క మునుపటి ఒడంబడిక గ్రంట్ వాడకం గతంలో సెప్టెంబర్ 2025లో ఆపరేషన్ ఫాంటమ్ నెట్ వోక్సెల్ సమయంలో డాక్యుమెంట్ చేయబడింది.

ఆపరేషన్ ఫాంటమ్ నెట్ వోక్సెల్‌తో వ్యూహాత్మక కొనసాగింపు

ఆపరేషన్ న్యూస్ప్లోయిట్ మునుపటి ప్రచారం యొక్క VBA మాక్రో అమలు పద్ధతిని DLL-ఆధారిత విధానంతో భర్తీ చేసినప్పటికీ, అంతర్లీన పద్ధతులు చాలావరకు స్థిరంగా ఉంటాయి. వీటిలో ఇవి ఉన్నాయి:

• అమలు మరియు పట్టుదల కోసం COM హైజాకింగ్
• DLL ప్రాక్సీయింగ్ విధానాలు
• XOR-ఆధారిత స్ట్రింగ్ అస్పష్టత
• PNG చిత్రాలలో షెల్‌కోడ్ లోడర్‌లు మరియు ఒడంబడిక గ్రంట్ పేలోడ్‌ల స్టెగానోగ్రాఫిక్ ఎంబెడ్డింగ్.

ఈ కొనసాగింపు పూర్తిగా కొత్త సాధనాలను స్వీకరించడం కంటే నిరూపితమైన ట్రేడ్‌క్రాఫ్ట్‌ను అభివృద్ధి చేయడం పట్ల APT28 యొక్క ప్రాధాన్యతను హైలైట్ చేస్తుంది.

CERT-UA హెచ్చరిక విస్తృత లక్ష్యాన్ని నిర్ధారిస్తుంది

ఈ ప్రచారం ఉక్రెయిన్ కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీం (CERT-UA) నుండి వచ్చిన సలహాతో సమానంగా జరిగింది, ఇది APT28 మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్ల ద్వారా CVE-2026-21509 ను దోపిడీ చేస్తుందని హెచ్చరించింది. ఈ కార్యాచరణ ఉక్రెయిన్‌లోని కేంద్ర కార్యనిర్వాహక అధికారులకు అనుసంధానించబడిన 60 కంటే ఎక్కువ ఇమెయిల్ చిరునామాలను లక్ష్యంగా చేసుకుంది. మెటాడేటా విశ్లేషణ జనవరి 27, 2026న కనీసం ఒక లూర్ డాక్యుమెంట్ సృష్టించబడిందని చూపించింది, ఇది దుర్బలత్వం యొక్క వేగవంతమైన కార్యాచరణను మరింత నొక్కి చెబుతుంది.

వెబ్‌డిఎవి-ఆధారిత డెలివరీ మరియు తుది పేలోడ్ అమలు

విశ్లేషణ ప్రకారం, మైక్రోసాఫ్ట్ ఆఫీస్‌లో హానికరమైన పత్రాన్ని తెరవడం వలన బాహ్య వనరుకు WebDAV కనెక్షన్ ప్రేరేపిస్తుంది. ఈ పరస్పర చర్య ఎంబెడెడ్ ప్రోగ్రామ్ కోడ్‌ను కలిగి ఉన్న షార్ట్‌కట్-శైలి పేరుతో ఫైల్‌ను డౌన్‌లోడ్ చేస్తుంది, అది అదనపు పేలోడ్‌ను తిరిగి పొందుతుంది మరియు అమలు చేస్తుంది.

ఈ ప్రక్రియ చివరికి PixyNetLoader ఇన్ఫెక్షన్ గొలుసును ప్రతిబింబిస్తుంది, ఇది COVENANT ఫ్రేమ్‌వర్క్ యొక్క గ్రంట్ ఇంప్లాంట్ యొక్క విస్తరణకు దారితీస్తుంది మరియు దాడి చేసేవారికి రాజీపడిన వ్యవస్థకు నిరంతర రిమోట్ యాక్సెస్‌ను మంజూరు చేస్తుంది.