APT28: Microsoft Office kihasználás
A Trellix jelentése szerint az APT28, Oroszországhoz kapcsolt aktor rendkívül gyorsan és célzottan használta ki a Microsoft Office-ban talált CVE-2026-21509 sebezhetőséget egy többlépcsős, rejtett kampányban, amelyben felhőalapú C2-kommunikációt is beépítettek az irányítás és adatküldés műveleteihez. A kampány során a támadók már a hiba publikus bejelentését követő 24 órán belül megkezdték a kihasználást, célként pedig elsősorban európai katonai és kormányzati szervezeteket nevezték meg, különösen a tengeri szállítás és közlekedés területén érintetteket.
A támadás lánc azzal indul, hogy az áldozatokhoz adathalász e-mailben kártékony Office dokumentumok érkeznek, amelyek a felhasználó kattintása után kihasználják a CVE-2026-21509-et anélkül, hogy makrók vagy további interakció szükséges lenne. Ezek a dokumentumok letöltenek majd futtatnak egy SimpleLoader nevű LNK-et és egy korai fázisú betöltőt, amely továbbviszi a fertőzést, majd a végső szakaszban egy BeardShell backdoort helyez el.
Ezt követően a Beardshell legitim felhőszolgáltatásokon keresztül tartja a kapcsolatot a C2 szerverrel, nehezítve ezzel az észlelést és a forgalom elkülönítését a normál cloud-forgalomtól. A kampányban alkalmazott technikák között szerepelnek titkosított payload-ok, memóriában való futtatás és folyamatinjektálás, amelyek minimalizálják a hagyományos napló- és fájlnyomokat, így a viselkedés-és hálózati szintű detektálás jelentős kihívást jelent védelem számára.
A Trellix kutatói kiemelik, hogy ez a tevékenység gyors adaptációt és kifinomult felhő-alapú kommunikációs taktikátmutat be az APT28 részéről, amely nem csak hagyományos C2 szervereket használ, hanem olyan szolgáltatásokat is, amelyek megnehezítik a rosszindulatú forgalom elkülönítését a legitim felhőforgalomtól, ezáltal növelve a kampány túlélőképességét és észrevétlenségét a célponti környezetekben.
