Ataki na administrację w Europie Środkowo-Wschodniej – hakerzy wykorzystują nową lukę w Microsoft Office

Zaledwie kilka dni po ujawnieniu podatności CVE-2026-21509 w Microsoft Office odnotowano jej aktywne wykorzystanie w precyzyjnie wymierzonej kampanii phishingowej. Celem były instytucje publiczne w Europie Środkowo-Wschodniej, w tym podmioty z Rumunii, Ukrainy i Słowacji. Samo otwarcie złośliwego dokumentu prowadziło do uruchomienia łańcucha infekcji.

26 stycznia 2026 r. firma Microsoft poinformowała o nowej luce w pakiecie Office, oznaczonej jako CVE-2026-21509. Już cztery dni później analitycy Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni potwierdzili jej aktywne wykorzystanie. Co istotne, według ustaleń DKWOC prace nad „uzbrojeniem” dokumentów rozpoczęły się dzień po upublicznieniu informacji o podatności.

Mechanizm ataku i wykorzystanie COM

Podatność została sklasyfikowana jako CWE-807, czyli poleganie na niezaufanych danych przy podejmowaniu decyzji bezpieczeństwa. W skali CVSS 3.1 otrzymała ocenę 7,8 na 10, co oznacza wysoki poziom zagrożenia.

Atak polega na obejściu mechanizmu Compatibility Flags, znanego jako tzw. kill bits, który od lat służy do blokowania niebezpiecznych obiektów COM w dokumentach Office. W spreparowanym pliku osadzana jest struktura OLE inicjująca obiekt Shell.Explorer.1. W efekcie dochodzi do pobrania pliku .lnk z zasobu WebDAV, a następnie uruchomienia złośliwej biblioteki DLL za pomocą polecenia rundll32.exe.

Dalszy etap obejmuje technikę COM Hijacking, polegającą na modyfikacji kluczy rejestru systemu Windows w celu zapewnienia trwałej obecności w systemie. Złośliwa biblioteka jest ładowana wśród zależności procesu explorer.exe, a infekcja rozwija się bez konieczności restartu komputera. W analizowanej próbce ładunek był ukryty w pliku graficznym przy użyciu steganografii LSB, a komunikacja z serwerem C2 odbywała się za pośrednictwem usługi chmurowej filen.io.

Crafty Leshy i powiązania z APT28

Kampanię przypisano grupie określanej przez DKWOC jako Crafty Leshy. Analogiczną aktywność opisał 1 lutego CERT-UA, wiążąc ją z klastrem UAC-0001 powiązanym z APT28. Wysoki poziom przygotowania, wykorzystanie przejętych skrzynek pocztowych instytucji państwowych oraz dopasowanie treści wiadomości do profilu odbiorców znacząco ograniczały szanse wykrycia ataku.

To pokazuje, jak szybko zaawansowane grupy reagują na publikację informacji o nowych lukach i jak istotne jest natychmiastowe wdrażanie poprawek.

Zalecenia i znaczenie dla sektora publicznego

DKWOC zaleca użytkownikom Microsoft Office 2016 i 2019 niezwłoczne zainstalowanie aktualizacji bezpieczeństwa. W przypadku wersji 2021 i nowszych ochrona została wdrożona po stronie usługi, jednak wymaga ponownego uruchomienia aplikacji.

Eksperci rekomendują także analizę ruchu sieciowego pod kątem wskazanych domen oraz przeszukanie systemów pocztowych z użyciem reguł YARA. W razie wykrycia infekcji należy powiadomić właściwy CSIRT.