Ruská hackerská skupina APT28 zneužívá zero-day zranitelnost v Microsoft Office v kampaních proti evropským cílům
Ruská hackerská skupina APT28, známá také jako UAC-0001, Fancy Bear nebo Forest Blizzard, byla identifikována jako útočník stojící za zneužitím nově odhalené kritické zranitelnosti CVE-2026-21509 v Microsoft Office v rámci kampaně označené jako Operation Neusploit. Kybernetické bezpečnostní firmy Zscaler ThreatLabz a Trellix reportovaly, že skupina zahájila útoky využívající tuto chybu zabezpečení již 29. ledna 2026, pouhé tři dny po tom, co Microsoft veřejně oznámil existenci zranitelnosti, a dokonce jeden den předtím, než byla vydána bezpečnostní záplata. Zranitelnost CVE-2026-21509 je označena skórem CVSS 7.8 a představuje obejití bezpečnostních funkcí v Microsoft Office, které umožňuje útočníkovi odeslat speciálně připravený Office soubor a aktivovat jej bez interakce uživatele. Útočná kampaň primárně cílila na vládní a vojenské instituce v zemích střední a východní Evropy, zejména na Ukrajinu, Slovensko, Rumunsko, Polsko, Slovinsko, Turecko a Řecko, ale i na Spojené arabské emiráty, s důrazem na námořní a dopravní organizace.
Útočný řetězec začíná otevřením speciálně připraveného dokumentu, který využívá protokol WebDAV k navázání síťového spojení s externím zdrojem, následně stahuje soubor Microsoft Shortcut a DLL knihovnu s kódovým názvem SimpleLoader, která je zodpovědná za nasazení malwaru NotDoor nebo COVENANT Grunt Beacon. Finálním payloadem je backdoor BEARDSHELL, který kontaktuje koncový bod filen.io pro komunikaci s řídícím serverem. Celý útočný řetězec je navržen s důrazem na odolnost a vyhýbání se detekci prostřednictvím šifrovaných payloadů, zneužití legitimních cloudových služeb pro command and control komunikaci, provádění kódu v paměti a process injection techniky, které minimalizují forenzní stopy. Metadata analyzovaná ukrajinským CERT-UA ukazují, že jeden z návnadových dokumentů byl vytvořen 27. ledna 2026, což naznačuje, že skupina APT28 měla přístup k informacím o zranitelnosti ještě před jejím zveřejněním. Trellix poznamenal, že APT28 zneužila tuto 1-day zranitelnost během 24 hodin od jejího veřejného odhalení, což demonstruje mimořádně rychlou schopnost skupiny weaponizovat nově objevené bezpečnostní chyby. Zranitelnost CVE-2026-21509 byla objevena a nahlášena společným úsilím Microsoft Threat Intelligence Center, Microsoft Security Response Center, Office Product Group Security Team a Google Threat Intelligence Group.
Další články
CISA rozšířila katalog KEV o další aktivně zneužívané zranitelnosti
AI Act vstupuje do kritické fáze
