🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaças patrocinado pelo Estado, ligado à Rússia, conhecido como APT28 (também conhecido como UAC-0001), foi atribuído a ataques que exploram uma falha de segurança recentemente divulgada no Microsoft Office como parte de uma campanha de codinome Operação Neusploit.
Zscaler ThreatLabz disse que observou o grupo de hackers usando a deficiência como arma em 29 de janeiro de 2026, em ataques direcionados a usuários na Ucrânia, Eslováquia e Romênia, três dias depois que a Microsoft divulgou publicamente a existência do bug.
A vulnerabilidade em questão é CVE-2026-21509 (pontuação CVSS: 7,8), um desvio de recurso de segurança no Microsoft Office que pode permitir que um invasor não autorizado envie um arquivo do Office especialmente criado e o acione.
“As iscas de engenharia social foram criadas em inglês e em idiomas localizados (romeno, eslovaco e ucraniano) para atingir os usuários nos respectivos países”, disseram os pesquisadores de segurança Sudeep Singh e Roy Tay. “O agente da ameaça empregou técnicas de evasão do lado do servidor, respondendo com a DLL maliciosa apenas quando as solicitações se originaram da região geográfica alvo e incluíram o cabeçalho HTTP User-Agent correto.”
As cadeias de ataque, em poucas palavras, envolvem a exploração da falha de segurança por meio de um arquivo RTF malicioso para fornecer duas versões diferentes de um dropper, uma projetada para eliminar um ladrão de e-mail do Outlook chamado MiniDoor, e outra, conhecida como PixyNetLoader, responsável pela implantação de um implante Covenant Grunt.
O primeiro conta-gotas atua como um caminho para servir o MiniDoor, um arquivo DLL baseado em C++ que rouba os e-mails de um usuário em várias pastas (Caixa de entrada, Lixo eletrônico e Rascunhos) e os encaminha para dois endereços de e-mail de agentes de ameaças codificados: ahmeclaw2002@outlook[.]com e ahmeclaw@proton[.]me. MiniDoor é avaliado como uma versão simplificada do NotDoor (também conhecido como GONEPOSTAL), que foi documentado pelo S2 Grupo LAB52 em setembro de 2025.
Em contraste, o segundo dropper, ou seja, PixyNetLoader, é usado para iniciar uma cadeia de ataque muito mais elaborada que envolve a entrega de componentes adicionais incorporados nele e a configuração da persistência no host usando o sequestro de objetos COM. Entre as cargas extraídas estão um carregador de shellcode ("EhStoreShell.dll") e uma imagem PNG ("SplashScreen.png").
A principal responsabilidade do carregador é analisar o shellcode oculto usando esteganografia na imagem e executá-lo. Dito isto, o carregador só ativa sua lógica maliciosa se a máquina infectada não for um ambiente de análise e quando o processo host que iniciou a DLL for “explorer.exe”. O malware permanece inativo se as condições não forem atendidas.
O shellcode extraído, em última análise, é usado para carregar um assembly .NET incorporado, que nada mais é do que um implante Grunt associado à estrutura de comando e controle (C2) .NET COVENANT de código aberto. É importante notar que o uso do Grunt Stager pelo APT28 foi destacado pela Sekoia em setembro de 2025 em conexão com uma campanha chamada Operação Phantom Net Voxel.
“A cadeia de infecção PixyNetLoader compartilha uma sobreposição notável com a Operação Phantom Net Voxel”, disse Zscaler. "Embora a campanha anterior tenha usado uma macro VBA, esta atividade a substitui por uma DLL, mantendo técnicas semelhantes, incluindo (1) sequestro de COM para execução, (2) proxy de DLL, (3) técnicas de criptografia de string XOR e (4) Covenant Grunt e seu carregador de shellcode incorporado em um PNG por meio de esteganografia."
A divulgação coincide com um relatório da Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA), que também alertou sobre o abuso do CVE-2026-21509 pelo APT28 usando documentos do Word para atingir mais de 60 endereços de e-mail associados às autoridades executivas centrais do país. A análise de metadados revela que um dos documentos de atração foi criado em 27 de janeiro de 2026.
“Durante a investigação, constatou-se que a abertura do documento através do Microsoft Office leva ao estabelecimento de uma ligação de rede a um recurso externo através do protocolo WebDAV, seguido do download de um ficheiro com um nome de atalho contendo código de programa concebido para descarregar e executar um ficheiro executável”, afirmou o CERT-UA.
Isso, por sua vez, desencadeia uma cadeia de ataque idêntica ao PixyNetLoader, resultando na implantação do implante Grunt da estrutura COVENANT.
Zscaler ThreatLabz disse que observou o grupo de hackers usando a deficiência como arma em 29 de janeiro de 2026, em ataques direcionados a usuários na Ucrânia, Eslováquia e Romênia, três dias depois que a Microsoft divulgou publicamente a existência do bug.
A vulnerabilidade em questão é CVE-2026-21509 (pontuação CVSS: 7,8), um desvio de recurso de segurança no Microsoft Office que pode permitir que um invasor não autorizado envie um arquivo do Office especialmente criado e o acione.
“As iscas de engenharia social foram criadas em inglês e em idiomas localizados (romeno, eslovaco e ucraniano) para atingir os usuários nos respectivos países”, disseram os pesquisadores de segurança Sudeep Singh e Roy Tay. “O agente da ameaça empregou técnicas de evasão do lado do servidor, respondendo com a DLL maliciosa apenas quando as solicitações se originaram da região geográfica alvo e incluíram o cabeçalho HTTP User-Agent correto.”
As cadeias de ataque, em poucas palavras, envolvem a exploração da falha de segurança por meio de um arquivo RTF malicioso para fornecer duas versões diferentes de um dropper, uma projetada para eliminar um ladrão de e-mail do Outlook chamado MiniDoor, e outra, conhecida como PixyNetLoader, responsável pela implantação de um implante Covenant Grunt.
O primeiro conta-gotas atua como um caminho para servir o MiniDoor, um arquivo DLL baseado em C++ que rouba os e-mails de um usuário em várias pastas (Caixa de entrada, Lixo eletrônico e Rascunhos) e os encaminha para dois endereços de e-mail de agentes de ameaças codificados: ahmeclaw2002@outlook[.]com e ahmeclaw@proton[.]me. MiniDoor é avaliado como uma versão simplificada do NotDoor (também conhecido como GONEPOSTAL), que foi documentado pelo S2 Grupo LAB52 em setembro de 2025.
Em contraste, o segundo dropper, ou seja, PixyNetLoader, é usado para iniciar uma cadeia de ataque muito mais elaborada que envolve a entrega de componentes adicionais incorporados nele e a configuração da persistência no host usando o sequestro de objetos COM. Entre as cargas extraídas estão um carregador de shellcode ("EhStoreShell.dll") e uma imagem PNG ("SplashScreen.png").
A principal responsabilidade do carregador é analisar o shellcode oculto usando esteganografia na imagem e executá-lo. Dito isto, o carregador só ativa sua lógica maliciosa se a máquina infectada não for um ambiente de análise e quando o processo host que iniciou a DLL for “explorer.exe”. O malware permanece inativo se as condições não forem atendidas.
O shellcode extraído, em última análise, é usado para carregar um assembly .NET incorporado, que nada mais é do que um implante Grunt associado à estrutura de comando e controle (C2) .NET COVENANT de código aberto. É importante notar que o uso do Grunt Stager pelo APT28 foi destacado pela Sekoia em setembro de 2025 em conexão com uma campanha chamada Operação Phantom Net Voxel.
“A cadeia de infecção PixyNetLoader compartilha uma sobreposição notável com a Operação Phantom Net Voxel”, disse Zscaler. "Embora a campanha anterior tenha usado uma macro VBA, esta atividade a substitui por uma DLL, mantendo técnicas semelhantes, incluindo (1) sequestro de COM para execução, (2) proxy de DLL, (3) técnicas de criptografia de string XOR e (4) Covenant Grunt e seu carregador de shellcode incorporado em um PNG por meio de esteganografia."
A divulgação coincide com um relatório da Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA), que também alertou sobre o abuso do CVE-2026-21509 pelo APT28 usando documentos do Word para atingir mais de 60 endereços de e-mail associados às autoridades executivas centrais do país. A análise de metadados revela que um dos documentos de atração foi criado em 27 de janeiro de 2026.
“Durante a investigação, constatou-se que a abertura do documento através do Microsoft Office leva ao estabelecimento de uma ligação de rede a um recurso externo através do protocolo WebDAV, seguido do download de um ficheiro com um nome de atalho contendo código de programa concebido para descarregar e executar um ficheiro executável”, afirmou o CERT-UA.
Isso, por sua vez, desencadeia uma cadeia de ataque idêntica ao PixyNetLoader, resultando na implantação do implante Grunt da estrutura COVENANT.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #apt28 #usa #microsoft #office #cve202621509 #em #ataques #de #malware #com #foco #em #espionagem
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário