Hakeri iskorištavaju kritičnu ranjivost u Microsoft Officeu

Grupa hakera APT28 iskoristila je kritičnu ranjivost u Microsoft Officeu kako bi pokrenula ciljanje kibernetičkih napada protiv organizacija i zemalja u srednjoj i istočnoj Europi. Samo nekoliko dana nakon što je Microsoft objavio hitnu zakrpu, hakeri su pretvorili ranjivost CVE-2026-21509 u oružje za napad.

Sigurnosni stručnjaci iz Zscaler ThreatLabz nazvali su ovu kampanju Operation Neusploit, otkrivši je samo tri dana nakon što je Microsoft objavio i zakrpao ranjivost 26. siječnja 2026. Ranjivost je ocijenjena visokim stupnjem ozbiljnosti s CVSS rezultatom 7,8, što omogućuje daljinsko izvršavanje koda bez potrebe da žrtva aktivira makronaredbe ili upozorenja. Slabost leži u načinu na koji Microsoft Office obrađuje posebno izrađene Rich Text Format (RTF) datoteke.

Napadi počinju phishing e-mailovima koji sadrže zlonamjerne RTF datoteke, prilagođene jeziku ciljanih korisnika, uključujući engleski, rumunjski, slovački i ukrajinski. Kada žrtva otvori datoteku, ranjivost se automatski aktivira i preuzima dropper DLL s hakera servera. Hakeri dodatno koriste filtriranje na strani poslužitelja, šaljući zlonamjerni kod samo kada zahtjev dolazi iz ciljane regije i s odgovarajućim zaglavljem User-Agenta, čime smanjuju šanse za rano otkrivanje.

Kampanja se odvija kroz dvije grane infekcije. Prva grana koristi MiniDoor, lagani alat koji krade e-poštu iz Microsoft Outlooka, ometa sigurnosne funkcije i tiho prosljeđuje poruke hakerima. Druga grana složenija je i koristi PixyNetLoader za dugoročni pristup putem COM preuzimanja, izvlači shell kod skriven u PNG slikama pomoću steganografije i instalira Covenant Grunt implantate, omogućujući hakerima daljinsko upravljanje sustavom.

Primarne mete nalaze se u srednjoj i istočnoj Europi, uključujući Ukrajinu, Rumunjsku, Slovačku, Poljsku, Sloveniju, Grčku, Tursku, UAE i Boliviju, pri čemu su najčešće ciljani sektori obrana, promet i diplomacija. Stručnjaci iz Trellixa i Zscaler ThreatLabz istaknuli su sofisticiranost kampanje, uključujući korištenje legitimnih cloud servisa za komunikaciju i tehnike bez datoteka kako bi se izbjeglo praćenje na disku.

APT28, poznat i kao Fancy Bear, Forest Blizzard ili Sofacy, dugo je bio aktivan u kibernetičkim napadima. Brzina kojom su iskoristili ranjivost pokazuje njihovu sposobnost brze reakcije, što znatno smanjuje vrijeme koje organizacije imaju za primjenu zakrpe.

Microsoft je izdao hitnu zakrpu za Office 2016, 2019, 2021, 2024 i Microsoft 365. Korisnici novijih verzija dobit će automatska ažuriranja, no aplikaciju je potrebno ponovno pokrenuti da bi zaštita stupila na snagu. Za starije verzije, ručna instalacija zakrpe je obavezna. Microsoft također nudi upute za privremeno blokiranje napada izmjenom registra dok se proces zakrpe ne dovrši. Sigurnosni stručnjaci preporučuju da organizacije i korisnici prioritet daju trenutnim ažuriranjima, jačaju kontrolu e-pošte, ograniče izvršavanje makronaredbi i prate neobično ponašanje Outlooka kako bi smanjili rizik od kompromitacije.