Rosyjska grupa hakerska APT28 wykorzystała krytyczną lukę w zabezpieczeniach pakietu Office zaledwie dwa dni po tym, jak Microsoft opublikował awaryjną łatkę. Podatność CVE-2026-21509 pozwala na obejście mechanizmów bezpieczeństwa i jest wykorzystywana w ukierunkowanych atakach.
Luka CVE-2026-21509, oznaczona jako security feature bypass i oceniona na 7.8 w skali CVSS, dotyka szerokiego zakresu wersji pakietu Office, od Office 2016 po Microsoft 365 Apps for Enterprise. Problem wynika z technologii OLE, która umożliwia osadzanie obiektów z innych aplikacji w dokumentach. Mimo zastosowanych przez Microsoft zabezpieczeń, takich jak Protected View czy blokowanie makr, podatność pozwala na manipulację metadanymi dokumentu, co skutkuje uznaniem złośliwego obiektu za bezpieczny.
Atak ten nie prowadzi bezpośrednio do wykonania zdalnego kodu (RCE), ale usuwa ostatnią barierę ochronną, umożliwiając uruchomienie złośliwego kodu osadzonego w dokumencie. Microsoft wydał łatkę awaryjną 26 stycznia, informując jednocześnie o trwających atakach. CISA dodała podatność do katalogu KEV, wyznaczając termin aktualizacji dla agencji federalnych na 16 lutego, jednak dla wielu organizacji było już za późno.
Pierwszy spreparowany dokument wykorzystujący lukę pojawił się w sieci 29 stycznia, jednak jego metadane wskazują na powstanie 27 stycznia, czyli dzień po publikacji łatki. Sugeruje to, że exploit był gotowy wcześniej, a hakerzy czekali jedynie na potwierdzenie, że ich wektor ataku jest zgodny z załatana przez Microsoft luką. Badacze z Zscaler ThreatLabz przypisali kampanię, nazwaną Operation Neusploit, grupie APT28, znanej z agresywnych działań cybernetycznych i powiązań z rosyjskim wywiadem wojskowym GRU.
APT28, znana również jako Fancy Bear, działa od dwóch dekad i ma na koncie liczne ataki na instytucje rządowe, organizacje międzynarodowe oraz infrastrukturę państw członkowskich NATO i UE. W przeciwieństwie do innych grup preferujących długotrwałe operacje szpiegowskie, APT28 charakteryzuje się szybkim, głośnym i bezwzględnym działaniem, mającym na celu wpływanie, destabilizację i pozyskiwanie informacji strategicznych. Operation Neusploit idealnie wpisuje się w ten profil.
Ataki w ramach Operation Neusploit wykorzystują dopracowane przynęty socjotechniczne, często zlokalizowane językowo, a dokumenty imitują oficjalną korespondencję instytucji rządowych. Wariant pierwszy, nazwany MiniDoor, po otwarciu złośliwego dokumentu RTF, pobiera DLL-kę typu dropper, która instaluje lekki backdoor kradnący wiadomości e-mail z folderów Inbox, Junk i Drafts. Wariant drugi, bardziej zaawansowany, wykorzystuje narzędzie PixyNetLoader do zapewnienia persystencji poprzez COM hijacking, a następnie ukrywa shellcode w pliku PNG, uruchamiając moduł Covenant Grunt, który komunikuje się z serwerem kontrolnym przez API chmurowej usługi Filen.
Główne cele ataków to instytucje rządowe i dyplomatyczne w Ukrainie, Słowacji i Rumunii, a także sektory morski, transportowy i dyplomatyczny w co najmniej siedmiu krajach, w tym w Polsce. CERT-UA potwierdza wysyłkę złośliwych dokumentów do ponad 60 adresów ukraińskich organów władzy wykonawczej. Eksperci ostrzegają, że liczba ataków będzie rosnąć, a APT28 liczy na to, że wiele instytucji zignoruje łatkę lub wdroży ją z opóźnieniem, co podkreśla konieczność traktowania każdej krytycznej łatki jako natychmiastowego priorytetu.
Źródło: https://spidersweb.pl/2026/02/wojna-rosja-kontra-microsoft.html
