Rosyjska grupa hakerska APT28 wykorzystała krytyczną lukę w zabezpieczeniach pakietu Office zaledwie dwa dni po tym, jak Microsoft opublikował awaryjną łatkę. Podatność CVE-2026-21509, dotycząca technologii OLE, umożliwia obejście mechanizmów bezpieczeństwa i otwiera drogę do infekcji.
Pierwszy spreparowany dokument wykorzystujący lukę CVE-2026-21509 pojawił się w sieci 29 stycznia, jednak metadane wskazują, że powstał on już 27 stycznia, dzień po publikacji łatki przez Microsoft. Badacze z Zscaler ThreatLabz przypisali kampanię, nazwaną Operation Neusploit, grupie APT28, znanej z agresywnych działań i powiązań z rosyjskim wywiadem wojskowym GRU.
APT28, działająca od dwóch dekad, jest odpowiedzialna za liczne ataki na cele związane z NATO, UE i Ukrainą. Grupa ta preferuje szybkie i głośne operacje mające na celu destabilizację i pozyskiwanie informacji strategicznych, co idealnie wpisuje się w profil Operation Neusploit.
Ataki wykorzystują dopracowane przynęty socjotechniczne, a dokumenty imitują oficjalną korespondencję instytucji rządowych. Pierwszy wariant, MiniDoor, po otwarciu dokumentu RTF instaluje lekki backdoor, który kradnie wiadomości e-mail z folderów Inbox, Junk i Drafts. Jest to uproszczona wersja znanego backdoora NotDoor.
Drugi wariant jest bardziej zaawansowany i wykorzystuje narzędzie PixyNetLoader do zapewnienia persystencji poprzez COM hijacking. Następnie malware ukrywa shellcode w pliku PNG, wykorzystując steganografię, i uruchamia Covenant Grunt, moduł frameworka C2 Covenant, komunikujący się z serwerem kontrolnym przez API chmurowej usługi Filen. Całość jest odporna na analizę w środowiskach wirtualnych.
Główne cele ataków to instytucje rządowe i dyplomatyczne w Ukrainie, Słowacji i Rumunii, a także sektory morski, transportowy i dyplomatyczny w co najmniej siedmiu krajach, w tym w Polsce. CERT-UA potwierdza wysyłkę złośliwych dokumentów do ponad 60 adresów ukraińskich organów władzy wykonawczej.
Microsoft wydał łatkę poza cyklem, 26 stycznia, a CISA wyznaczyła agencjom federalnym termin na aktualizację do 16 lutego. Jednakże, biorąc pod uwagę szybkość działania APT28, organizacje muszą traktować każdą krytyczną łatkę jako natychmiastowy priorytet. Aktualizacja pakietu Office, zwłaszcza starszych wersji, jest kluczowa dla ochrony przed tego typu zagrożeniami.
Źródło: https://spidersweb.pl/2026/02/wojna-rosja-kontra-microsoft.html
