CVE-2026-21509 Microsoft Office 漏洞
与俄罗斯有关联的国家支持的威胁组织APT28(也被称为UAC-0001)被指利用新披露的微软Office漏洞发动了新一轮网络攻击。此次攻击活动被称为“Neusploit行动”,是该漏洞公开披露后最早的实际利用案例之一。
安全研究人员观察到,该组织于 2026 年 1 月 29 日利用该漏洞进行攻击,而就在三天前,微软刚刚披露了该漏洞,攻击目标是乌克兰、斯洛伐克和罗马尼亚的用户。
目录
CVE-2026-21509:具有实际影响的安全功能绕过漏洞
此次被利用的漏洞编号为 CVE-2026-21509,CVSS 评分为 7.8,影响 Microsoft Office。该漏洞被归类为安全功能绕过漏洞,攻击者可以利用该漏洞提供精心构造的 Office 文档,无需授权即可触发该文档,从而为更广泛的攻击链中的任意代码执行打开方便之门。
区域性社会工程和规避策略
此次攻击活动大量运用了定制化的社会工程技术。诱饵文档不仅使用英语,还编写了罗马尼亚语、斯洛伐克语和乌克兰语版本,以提高在目标受众中的可信度。分发基础设施配置了服务器端规避措施,确保恶意DLL有效载荷仅在请求来自预期地理区域且包含预期User-Agent HTTP标头时才会被发送。
通过恶意RTF文件进行双重投放策略
该行动的核心是利用恶意RTF文档来攻击CVE-2026-21509漏洞,并部署两种投放器中的一种,每种投放器支持不同的行动目标。一种投放器用于窃取电子邮件,而另一种投放器则会发起更复杂的多阶段入侵,最终部署功能齐全的命令与控制植入程序。
MiniDoor:针对 Outlook 电子邮件的盗窃
第一个投放器会安装 MiniDoor,这是一个基于 C++ 的 DLL,旨在从 Microsoft Outlook 文件夹(包括收件箱、垃圾邮件和草稿箱)中窃取电子邮件数据。窃取的邮件会被泄露到两个预先设置好的、由攻击者控制的电子邮件帐户中:
ahmeclaw2002@outlook[.]com 和 ahmeclaw@proton[.]me。
MiniDoor 被评估为 NotDoor(也称为 GONEPOSTAL)的轻量级衍生产品,NotDoor 是 2025 年 9 月记录的一个工具。
PixyNetLoader 和 Covenant 植入链
第二个投放器名为 PixyNetLoader,它支持更为复杂的攻击序列。它会提取嵌入式组件,并通过 COM 对象劫持建立持久化控制。提取的文件中包含一个名为 EhStoreShell.dll 的 shellcode 加载器和一个名为 SplashScreen.png 的 PNG 图片。
该加载器的作用是利用隐写术提取隐藏在镜像中的 shellcode 并执行它。这种恶意逻辑仅在宿主环境未被识别为分析沙箱且 DLL 由 explorer.exe 启动时才会激活,否则将保持休眠状态以避免被检测到。
解码后的 shellcode 最终会加载一个嵌入式 .NET 程序集:一个与开源 COVENANT 命令与控制框架关联的 Grunt 植入程序。APT28 此前在 2025 年 9 月的“幻影网络体素行动”(Operation Phantom Net Voxel)中就曾使用过 Covenant Grunt。
与“幻影网络体素行动”的战术连续性
虽然“新漏洞利用行动”用基于 DLL 的方法取代了之前行动中使用的 VBA 宏执行方法,但其底层技术基本保持一致。这些技术包括:
- COM劫持以实现执行和持久化
- DLL代理机制
- 基于异或的字符串混淆
- 将 shellcode 加载器和 Covenant Grunt 有效载荷以隐写术方式嵌入 PNG 图像中
这种延续性凸显了 APT28 更倾向于发展成熟的工艺技术,而不是采用全新的工具。
CERT-UA 警告证实目标范围扩大
此次攻击活动恰逢乌克兰计算机应急响应小组 (CERT-UA) 发布安全警报,警告称 APT28 正在利用 Microsoft Word 文档攻击 CVE-2026-21509 漏洞。攻击目标包括 60 多个与乌克兰中央行政机构相关的电子邮件地址。元数据分析显示,至少有一个诱饵文档创建于 2026 年 1 月 27 日,进一步凸显了该漏洞的快速部署。
基于 WebDAV 的交付和最终有效载荷执行
分析显示,在 Microsoft Office 中打开恶意文档会触发与外部资源的 WebDAV 连接。此交互会下载一个名称类似快捷方式的文件,该文件包含嵌入式程序代码,随后会检索并执行额外的恶意代码。
该过程最终与 PixyNetLoader 感染链类似,导致 COVENANT 框架的 Grunt 植入程序的部署,并赋予攻击者对受感染系统的持久远程访问权限。
