Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) CVE-2026-21509 Microsoft Office-Sicherheitslücke

CVE-2026-21509 Microsoft Office-Sicherheitslücke

Von Mezo in Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Der russisch-gestützte, staatlich geförderte Cyberkriminelle APT28 (auch bekannt als UAC-0001) wird für eine neue Welle von Cyberangriffen verantwortlich gemacht, die eine kürzlich aufgedeckte Sicherheitslücke in Microsoft Office ausnutzen. Die Aktivitäten werden unter dem Kampagnennamen „Operation Neusploit“ geführt und stellen einen der ersten Fälle einer erfolgreichen Ausnutzung der Sicherheitslücke nach ihrer Veröffentlichung dar.

Sicherheitsforscher beobachteten, wie die Gruppe die Schwachstelle am 29. Januar 2026 ausnutzte, nur drei Tage nachdem Microsoft die Sicherheitslücke bekannt gegeben hatte. Die Gruppe zielte dabei auf Nutzer in der Ukraine, der Slowakei und Rumänien ab.

CVE-2026-21509: Eine Sicherheitslücke mit realen Auswirkungen

Die ausgenutzte Sicherheitslücke CVE-2026-21509 hat einen CVSS-Wert von 7,8 und betrifft Microsoft Office. Sie wird als Umgehung von Sicherheitsfunktionen klassifiziert und ermöglicht Angreifern, ein speziell präpariertes Office-Dokument auszuliefern, das ohne entsprechende Autorisierung ausgeführt werden kann. Dadurch wird die Tür für die Ausführung beliebigen Codes im Rahmen einer umfassenderen Angriffskette geöffnet.

Regionenspezifische Social-Engineering- und Ausweichtaktiken

Die Kampagne setzte maßgeblich auf gezieltes Social Engineering. Köderdokumente wurden in Englisch sowie in Rumänisch, Slowakisch und Ukrainisch erstellt, um die Glaubwürdigkeit bei den lokalen Zielpersonen zu erhöhen. Die Auslieferungsinfrastruktur war mit serverseitigen Ausweichmechanismen ausgestattet, die sicherstellten, dass schädliche DLL-Payloads nur dann ausgeliefert wurden, wenn Anfragen aus den vorgesehenen geografischen Regionen stammten und die erwarteten User-Agent-HTTP-Header enthielten.

Dual-Dropper-Strategie über bösartige RTF-Dateien

Kern der Operation ist die Verwendung manipulierter RTF-Dokumente, um CVE-2026-21509 auszunutzen und einen von zwei Droppern einzusetzen, die jeweils ein anderes operatives Ziel verfolgen. Ein Dropper ermöglicht den Diebstahl von E-Mails, während der andere einen komplexeren, mehrstufigen Einbruch initiiert, der in der Installation eines voll funktionsfähigen Command-and-Control-Systems gipfelt.

MiniDoor: Gezielter Outlook-E-Mail-Diebstahl

Der erste Dropper installiert MiniDoor, eine C++-basierte DLL, die entwickelt wurde, um E-Mail-Daten aus Microsoft Outlook-Ordnern, einschließlich Posteingang, Junk-Ordner und Entwürfe, zu sammeln. Die gestohlenen Nachrichten werden auf zwei fest codierte, vom Angreifer kontrollierte E-Mail-Konten exfiltriert:
ahmeclaw2002@outlook[.]com und ahmeclaw@proton[.]me.

MiniDoor wird als eine leichtere Weiterentwicklung von NotDoor (auch bekannt als GONEPOSTAL) eingeschätzt, einem Tool, das zuvor im September 2025 dokumentiert wurde.

PixyNetLoader und die Covenant-Implantatkette

Der zweite Dropper, bekannt als PixyNetLoader, ermöglicht eine deutlich komplexere Angriffssequenz. Er extrahiert eingebettete Komponenten und etabliert Persistenz durch COM-Objekt-Hijacking. Zu den extrahierten Dateien gehören ein Shellcode-Loader namens EhStoreShell.dll und ein PNG-Bild mit der Bezeichnung SplashScreen.png.

Die Aufgabe des Loaders besteht darin, mithilfe von Steganografie im Image versteckten Shellcode zu extrahieren und auszuführen. Diese Schadsoftware wird nur aktiv, wenn die Host-Umgebung nicht als Analyse-Sandbox erkannt wird und die DLL von explorer.exe gestartet wird; andernfalls bleibt sie inaktiv, um einer Entdeckung zu entgehen.

Der dekodierte Shellcode lädt schließlich eine eingebettete .NET-Assembly: ein Grunt-Implantat, das mit dem Open-Source-Befehls- und Kontrollframework COVENANT verknüpft ist. Die vorherige Nutzung von Covenant Grunt durch APT28 wurde bereits im September 2025 während der Operation Phantom Net Voxel dokumentiert.

Taktische Kontinuität mit Operation Phantom Net Voxel

Während Operation Neusploit die VBA-Makroausführungsmethode der vorherigen Kampagne durch einen DLL-basierten Ansatz ersetzt, bleiben die zugrunde liegenden Techniken weitgehend gleich. Dazu gehören:

  • COM-Hijacking zur Ausführung und Aufrechterhaltung
  • DLL-Proxy-Mechanismen
  • XOR-basierte String-Verschleierung
  • Steganografische Einbettung von Shellcode-Loadern und Covenant Grunt-Payloads in PNG-Bilder

Diese Kontinuität unterstreicht die Vorliebe von APT28 für die Weiterentwicklung bewährter Methoden anstatt für die Einführung völlig neuer Werkzeuge.

CERT-UA-Warnung bestätigt breitere Zielsetzung

Die Kampagne fiel zeitlich mit einer Warnung des ukrainischen Computer-Notfallteams (CERT-UA) zusammen, das vor der Ausnutzung der Sicherheitslücke CVE-2026-21509 durch APT28 über Microsoft Word-Dokumente warnte. Die Aktivitäten zielten auf über 60 E-Mail-Adressen ab, die mit zentralen Exekutivbehörden in der Ukraine in Verbindung stehen. Die Metadatenanalyse ergab, dass mindestens ein Köderdokument am 27. Januar 2026 erstellt wurde, was die rasche Ausnutzung der Sicherheitslücke unterstreicht.

WebDAV-basierte Übermittlung und Ausführung der finalen Nutzdaten

Die Analyse ergab, dass das Öffnen des schädlichen Dokuments in Microsoft Office eine WebDAV-Verbindung zu einer externen Ressource herstellt. Durch diese Interaktion wird eine Datei mit einem aussagekräftigen Namen heruntergeladen, die eingebetteten Programmcode enthält. Dieser ruft anschließend eine weitere Schadsoftware ab und führt sie aus.

Dieser Prozess spiegelt letztlich die Infektionskette von PixyNetLoader wider und führt zur Bereitstellung des Grunt-Implantats des COVENANT-Frameworks, wodurch Angreifer dauerhaften Fernzugriff auf das kompromittierte System erhalten.

 

Im Trend

Am häufigsten gesehen

Wird geladen...