Вразливість CVE-2026-21509 в Microsoft Office
Пов'язаного з Росією державного кібератак APT28, також відстежуваного як UAC-0001, приписують новій хвилі кібератак, що використовують нещодавно виявлену вразливість Microsoft Office. Активність відстежується під назвою кампанії «Операція Neusploit» і є одним із найперших випадків експлуатації вразливості після публічного розкриття.
Дослідники з безпеки помітили, як група використовувала цю вразливість як зброю 29 січня 2026 року, лише через три дні після того, як Microsoft розкрила її, атакуючи користувачів в Україні, Словаччині та Румунії.
Зміст
CVE-2026-21509: Обхід функцій безпеки з реальним впливом
Вразливість CVE-2026-21509, що була використана, має рейтинг CVSS 7,8 та впливає на Microsoft Office. Класифікована як обхід функцій безпеки, ця вразливість дозволяє зловмисникам доставляти спеціально створений документ Office, який можна активувати без належної авторизації, відкриваючи шлях для виконання довільного коду в рамках ширшого ланцюга атак.
Регіонально-специфічна соціальна інженерія та тактика ухилення
Кампанія значною мірою спиралася на спеціалізовану соціальну інженерію. Документи-приманки були створені англійською, а також румунською, словацькою та українською мовами для підвищення довіри серед місцевих цілей. Інфраструктуру доставки було налаштовано з використанням заходів уникнення на стороні сервера, що гарантувало, що шкідливі корисні навантаження DLL обслуговувалися лише тоді, коли запити надходили з певних географічних регіонів та містили очікувані HTTP-заголовки User-Agent.
Стратегія подвійного дроппера через шкідливі RTF-файли
В основі операції лежить використання шкідливих RTF-документів для експлуатації CVE-2026-21509 та розгортання одного з двох дропперів, кожен з яких підтримує різну операційну мету. Один дроппер забезпечує можливість крадіжки електронної пошти, тоді як інший ініціює складніше, багатоетапне вторгнення, що завершується розгортанням повнофункціонального імплантату командування та управління.
MiniDoor: Цільова крадіжка електронної пошти Outlook
Перший дроппер встановлює MiniDoor, DLL на основі C++, призначену для збору даних електронної пошти з папок Microsoft Outlook, включаючи Вхідні, Небажану пошту та Чернетки. Викрадені повідомлення потрапляють на два жорстко закодовані облікові записи електронної пошти, контрольовані зловмисником:
ahmeclaw2002@outlook[.]com та ahmeclaw@proton[.]me.
MiniDoor оцінюється як полегшена похідна від NotDoor (також відомого як GONEPOSTAL), інструменту, раніше задокументованого у вересні 2025 року.
PixyNetLoader та ланцюг імплантів Ковенанту
Другий дроппер, відомий як PixyNetLoader, сприяє значно складнішій послідовності атак. Він витягує вбудовані компоненти та встановлює їх персистентність шляхом захоплення COM-об'єктів. Серед витягнутих файлів є завантажувач шелл-коду під назвою EhStoreShell.dll та зображення PNG під назвою SplashScreen.png.
Роль завантажувача полягає у вилученні шелл-коду, прихованого в зображенні, за допомогою стеганографії та його виконанні. Ця шкідлива логіка активується лише тоді, коли середовище хоста не ідентифіковане як «пісочниця» аналізу, і коли DLL запускається explorer.exe, в іншому випадку залишаючись неактивною, щоб уникнути виявлення.
Розшифрований шелл-код зрештою завантажує вбудовану збірку .NET: імплантат Grunt, пов'язаний з командно-контрольною системою COVENANT з відкритим кодом. Попереднє використання Covenant Grunt компанією APT28 було задокументовано у вересні 2025 року під час операції Phantom Net Voxel.
Тактична безперервність з операцією Phantom Net Voxel
Хоча операція Neusploit замінює метод виконання макросів VBA попередньої кампанії підходом на основі DLL, основні методи залишаються значною мірою незмінними. До них належать:
- Викрадання COM-системи для виконання та збереження даних
- Механізми проксування DLL
- Обфускація рядків на основі XOR
- Стеганографічне вбудовування завантажувачів шелл-коду та корисних навантажень Covenant Grunt у зображення PNG
Ця безперервність підкреслює перевагу APT28 до розвитку перевірених ремесел, а не до впровадження абсолютно нових інструментів.
Попередження CERT-UA підтверджує ширше таргетування
Кампанія збіглася з повідомленням від Команди реагування на комп'ютерні надзвичайні ситуації України (CERT-UA), яка попереджала про використання APT28 CVE-2026-21509 через документи Microsoft Word. Активність була спрямована на понад 60 адрес електронної пошти, пов'язаних з центральними органами виконавчої влади в Україні. Аналіз метаданих показав, що принаймні один документ-приманка був створений 27 січня 2026 року, що ще раз підкреслює швидку операціоналізацію вразливості.
Доставка на основі WebDAV та виконання остаточного корисного навантаження
Аналіз показав, що відкриття шкідливого документа в Microsoft Office запускає WebDAV-з’єднання із зовнішнім ресурсом. Ця взаємодія завантажує файл із назвою у стилі ярлика, що містить вбудований програмний код, який потім отримує та виконує додаткове корисне навантаження.
Цей процес зрештою відображає ланцюг зараження PixyNetLoader, що призводить до розгортання імпланта Grunt фреймворку COVENANT та надання зловмисникам постійного віддаленого доступу до ураженої системи.
