CVE-2026-21509 Microsoft Office 漏洞
與俄羅斯有關聯的國家支持的威脅組織APT28(也被稱為UAC-0001)被指利用新披露的微軟Office漏洞發動了新一輪網路攻擊。這次攻擊活動被稱為“Neusploit行動”,是該漏洞公開披露後最早的實際利用案例之一。
安全研究人員觀察到,該組織於 2026 年 1 月 29 日利用該漏洞進行攻擊,而就在三天前,微軟剛剛披露了該漏洞,攻擊目標是烏克蘭、斯洛伐克和羅馬尼亞的用戶。
目錄
CVE-2026-21509:具有實際影響的安全功能繞過漏洞
這次被利用的漏洞編號為 CVE-2026-21509,CVSS 評分為 7.8,影響 Microsoft Office。該漏洞被歸類為安全功能繞過漏洞,攻擊者可以利用該漏洞提供精心構造的 Office 文檔,無需授權即可觸發該文檔,從而為更廣泛的攻擊鏈中的任意代碼執行打開方便之門。
區域性社會工程與規避策略
這次攻擊活動大量運用了客製化的社會工程技術。誘餌文件不僅使用英語,還編寫了羅馬尼亞語、斯洛伐克語和烏克蘭語版本,以提高在目標受眾中的可信度。分發基礎設施配置了伺服器端規避措施,確保惡意DLL有效載荷僅在請求來自預期地理區域且包含預期User-Agent HTTP標頭時才會被發送。
透過惡意RTF檔案進行雙重投放策略
該行動的核心是利用惡意RTF文件來攻擊CVE-2026-21509漏洞,並部署兩種投放器中的一種,每種投放器支援不同的行動目標。一種投放器用於竊取電子郵件,而另一種投放器則會發動更複雜的多階段入侵,最終部署功能齊全的命令與控制植入程式。
MiniDoor:針對 Outlook 電子郵件的竊盜
第一個投放器會安裝 MiniDoor,這是一個基於 C++ 的 DLL,旨在從 Microsoft Outlook 資料夾(包括收件匣、垃圾郵件和草稿匣)中竊取電子郵件資料。竊取的郵件會洩漏到兩個預先設定好的、由攻擊者控制的電子郵件帳號:
ahmeclaw2002@outlook[.]com 和 ahmeclaw@proton[.]me。
MiniDoor 被評估為 NotDoor(也稱為 GONEPOSTAL)的輕量級衍生產品,NotDoor 是 2025 年 9 月記錄的工具。
PixyNetLoader 和 Covenant 植入鏈
第二個投放器名為 PixyNetLoader,它支援更為複雜的攻擊序列。它會提取嵌入式組件,並透過 COM 物件劫持建立持久化控制。提取的檔案中包含一個名為 EhStoreShell.dll 的 shellcode 載入器和一個名為 SplashScreen.png 的 PNG 圖片。
這個載入器的作用是利用隱寫術來提取隱藏在鏡像中的 shellcode 並執行它。這種惡意邏輯僅在宿主環境未被識別為分析沙箱且 DLL 由 explorer.exe 啟動時才會激活,否則將保持休眠狀態以避免被偵測到。
解碼後的 shellcode 最終會載入一個嵌入式 .NET 組件:一個與開源 COVENANT 指令與控制框架相關的 Grunt 植入程式。 APT28 先前在 2025 年 9 月的「幻影網絡體素行動」(Operation Phantom Net Voxel)中就曾使用過 Covenant Grunt。
與「幻影網絡體素行動」的戰術連續性
雖然「新漏洞利用行動」以基於 DLL 的方法取代了先前行動中使用的 VBA 巨集執行方法,但其底層技術基本上保持一致。這些技術包括:
- COM劫持以實現執行和持久化
- DLL代理機制
- 基於異或的字串混淆
- 將 shellcode 載入器和 Covenant Grunt 酬載以隱寫術方式嵌入 PNG 影像中
這種延續性凸顯了 APT28 更傾向於發展成熟的製程技術,而不是採用全新的工具。
CERT-UA 警告證實目標範圍擴大
這次攻擊活動恰逢烏克蘭電腦緊急應變小組 (CERT-UA) 發布安全警報,警告 APT28 正在利用 Microsoft Word 文件攻擊 CVE-2026-21509 漏洞。攻擊目標包括 60 多個與烏克蘭中央行政機構相關的電子郵件地址。元資料分析顯示,至少有一個誘餌文件創建於 2026 年 1 月 27 日,進一步凸顯了該漏洞的快速部署。
基於 WebDAV 的交付和最終有效載荷執行
分析顯示,在 Microsoft Office 中開啟惡意文件會觸發與外部資源的 WebDAV 連線。此互動會下載一個名稱類似捷徑的文件,該文件包含嵌入式程式碼,隨後會擷取並執行額外的惡意程式碼。
這個過程最終與 PixyNetLoader 感染鏈類似,導致 COVENANT 框架的 Grunt 植入程式的部署,並賦予攻擊者對受感染系統的持久遠端存取權限。
