APT28 ใช้ช่องโหว่ Microsoft Office CVE-2026-21509 ในการโจมตีมัลแวร์เพื่อการจารกรรม

กลุ่ม APT28 (หรือ UAC-0001) ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ถูกระบุว่าอยู่เบื้องหลังการโจมตีโดยใช้ช่องโหว่ด้านความปลอดภัยที่เพิ่งเปิดเผยใน Microsoft Office (CVE-2026-21509) ในแคมเปญที่มีชื่อรหัสว่า Operation Neusploit การโจมตีดังกล่าวถูกพบเมื่อวันที่ 29 มกราคม 2026 มุ่งเป้าไปที่ผู้ใช้งานในยูเครน สโลวาเกีย และโรมาเนีย โดยอาศัยไฟล์ RTF ที่เป็นอันตรายเพื่อส่งมัลแวร์ MiniDoor และ Covenant Grunt ซึ่งมีเป้าหมายเพื่อการจารกรรมข้อมูล

Severity: วิกฤต

System Impact:

• Microsoft Office (โดยเฉพาะช่องโหว่ CVE-2026-21509)
• Microsoft Outlook (สำหรับการขโมยอีเมลโดย MiniDoor)
• ระบบปฏิบัติการ Windows (สำหรับการคงอยู่บนระบบผ่าน COM object hijacking และการตรวจสอบกระบวนการ explorer.exe)
• เป้าหมายผู้ใช้งานในยูเครน สโลวาเกีย และโรมาเนีย รวมถึงหน่วยงานบริหารกลางในยูเครน

Technical Attack Steps:

1. ผู้โจมตีส่งไฟล์ RTF ที่เป็นอันตรายผ่านการหลอกลวงทางสังคม (Social Engineering Lures) ในภาษาอังกฤษ โรมาเนีย สโลวัก และยูเครน
2. ไฟล์ RTF ใช้ช่องโหว่ CVE-2026-21509 ใน Microsoft Office เพื่อแทรกซึมเข้าสู่ระบบ
3. การใช้ช่องโหว่นำไปสู่การส่ง Dropper สองเวอร์ชัน: Dropper แรกสำหรับ MiniDoor และ Dropper ที่สอง (PixyNetLoader) สำหรับ Covenant Grunt implant
4. มีการใช้เทคนิคการหลีกเลี่ยงการตรวจจับฝั่งเซิร์ฟเวอร์ โดยจะตอบสนองด้วย DLL ที่เป็นอันตรายเมื่อมีการร้องขอจากภูมิภาคเป้าหมายและรวมส่วนหัว User-Agent HTTP ที่ถูกต้องเท่านั้น
5. มัลแวร์ MiniDoor ที่ถูกติดตั้งจะขโมยอีเมลจากกล่องจดหมาย (Inbox), อีเมลขยะ (Junk) และฉบับร่าง (Drafts) และส่งต่อไปยังที่อยู่อีเมลของผู้โจมตีที่ฮาร์ดโค้ดไว้
6. มัลแวร์ PixyNetLoader เริ่มต้นการโจมตีที่ซับซ้อนยิ่งขึ้น โดยฝังส่วนประกอบเพิ่มเติม (เช่น Shellcode Loader ‘EhStoreShell.dll’ และรูปภาพ PNG ‘SplashScreen.png’)
7. PixyNetLoader สร้างการคงอยู่บนระบบโดยใช้เทคนิค COM object hijacking
8. Loader จะแยกวิเคราะห์ Shellcode ที่ซ่อนอยู่โดยใช้ Steganography ภายในรูปภาพ PNG และจะดำเนินการรันโค้ดที่เป็นอันตรายเฉพาะเมื่อเครื่องที่ติดเชื้อไม่ใช่สภาพแวดล้อมการวิเคราะห์ และเมื่อกระบวนการโฮสต์ที่เปิดใช้ DLL คือ ‘explorer.exe’ เท่านั้น
9. Shellcode ที่ถูกแยกออกมาในที่สุดจะใช้เพื่อโหลด .NET assembly ที่ฝังอยู่ ซึ่งก็คือ Grunt implant ที่เชื่อมโยงกับเฟรมเวิร์ก .NET COVENANT command-and-control (C2)

Recommendations:

Short Term:

• อัปเดตแพตช์ Microsoft Office สำหรับช่องโหว่ CVE-2026-21509 ทันที
• ให้ความรู้แก่ผู้ใช้งานเกี่ยวกับกลยุทธ์ Social Engineering โดยเฉพาะอย่างยิ่งไฟล์แนบและลิงก์ที่น่าสงสัย
• ใช้ระบบกรองเครือข่ายเพื่อบล็อกโดเมน/IP ที่เป็นอันตรายของ C2 ที่รู้จัก
• ติดตั้งโซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับและตอบสนองต่อกิจกรรมที่ผิดปกติ

Long Term:

• อัปเดตและแพตช์ซอฟต์แวร์ทั้งหมดอย่างสม่ำเสมอ โดยเฉพาะระบบปฏิบัติการและชุดโปรแกรมสำนักงาน
• ใช้เกตเวย์ความปลอดภัยอีเมลที่แข็งแกร่งเพื่อกรองไฟล์แนบที่เป็นอันตรายและการพยายามฟิชชิ่ง
• เสริมสร้างโปรแกรมการฝึกอบรมสร้างความตระหนักรู้แก่ผู้ใช้งานเพื่อระบุและรายงานอีเมลที่น่าสงสัย
• นำหลักการ Zero Trust มาใช้ รวมถึงการให้สิทธิ์ขั้นต่ำ (Least Privilege) และการยืนยันอย่างต่อเนื่อง
• ใช้ Threat Intelligence Feeds เพื่อติดตามข้อมูลล่าสุดเกี่ยวกับกิจกรรมและเทคนิคของ APT
• ตรวจสอบการรับส่งข้อมูลเครือข่ายสำหรับพฤติกรรมที่ผิดปกติและการสื่อสาร C2
• ใช้ Application Whitelisting เพื่อจำกัดการรันซอฟต์แวร์ที่ไม่ได้รับอนุญาต

Source: https://thehackernews.com/2026/02/apt28-uses-microsoft-office-cve-2026.html