Ruski hakeri podržani od države iskoristili su kritičnu ranjivost Microsoft Officea koja im je omogućila kompromitaciju uređaja unutar diplomatskih, pomorskih i transportnih organizacija u više od pola tuceta zemalja, naveli su istraživači u srijedu.
Prijetnja, praćena pod nazivima kao što su APT28, Fancy Bear, Sednit, Forest Blizzard i Sofacy, iskoristila je ranjivost označenu kao CVE-2026-21509 manje od 48 sati nakon što je Microsoft objavio hitnu, neplaniranu sigurnosnu nadogradnju krajem prošlog mjeseca. Nakon obrnute inženjeringa zakrpe, članovi grupe razvili su napredni exploit koji je instalirao jedan od dva dosad neviđena backdoor implantata.
Cijela kampanja bila je osmišljena kako bi kompromitacija ostala neprimijećena od strane zaštitnih sustava. Osim što su bili novi, eksploatacije i payloadi bili su šifrirani i radili su u memoriji, što je otežavalo otkrivanje njihove zloćudnosti. Početni vektor infekcije došao je iz prethodno kompromitiranih vladinih računa iz više zemalja, a ciljane osobe bile su vjerojatno upoznate s tim računima. Kanali zapovijedanja i kontrole bili su hostani u legitimnim cloud uslugama koje su obično dopuštene unutar osjetljivih mreža.
“Korištenje CVE-2026-21509 pokazuje koliko brzo mogu državom potpomognuti akteri oružati nove ranjivosti, smanjujući vremenski okvir za obranu da zakrpe kritične sustave,” napisali su istraživači iz sigurnosne tvrtke Trellix. “Modularni lanac infekcije kampanje — od inicijalnog phishinga do backdoora u memoriji do sekundarnih implantata — pažljivo je osmišljen kako bi iskoristio povjerljive kanale (HTTPS do cloud usluga, legitimni tokovi e-pošte) i tehnike bez datoteka kako bi se prikrio na vidiku.”
Kampanja usmjerenog phishinga trajala je 72 sata i isporučila je najmanje 29 različitih privlačnih e-mailova organizacijama u devet zemalja, prvenstveno u Istočnoj Europi. Trellix je imenovao osam od njih: Poljska, Slovenija, Turska, Grčka, UAE, Ukrajina, Rumunjska i Bolivija. Ciljane organizacije bile su ministarstva obrane (40 posto), operatori transporta/logistike (35 posto) i diplomatska tijela (25 posto).
