ロシア国家ハッカーらが時間を無駄にせず、Microsoft Officeの重大な脆弱性を悪用し、6カ国以上の外交、海事、運輸機関内のデバイスに侵入できたと研究者が水曜日に発表した。

研究者らによると、APT28、Fancy Bear、Sednit、Forest Blizzard、Sofacyなどの名前で追跡されているこの脅威グループは、Microsoftが先月末に予定外の緊急セキュリティ更新プログラムをリリースしてから48時間も経たないうちに、CVE-2026-21509として追跡されている脆弱性を攻撃したという。パッチをリバース エンジニアリングした後、グループ メンバーは、これまでに見たことのない 2 つのバックドア エクスプロイトのうちの 1 つをインストールする高度なエクスプロイトを作成しました。

ステルス性、スピード、正確性

キャンペーン全体は、侵害がエンドポイントのセキュリティから見えないようにするように設計されていました。斬新であることに加えて、エクスプロイトとペイロードは暗号化されてメモリ内で実行されるため、その悪意を検出することが困難でした。最初の感染経路は、以前に侵害されたいくつかの国の政府アカウントからのものであり、標的となった電子メールの所有者にとってはよく知られたものである可能性があります。コマンド アンド コントロール チャネルは、通常は機密性の高いネットワーク内の許可リストに登録されている正規のクラウド サービスでホストされていました。

「CVE-2026-21509の使用は、国家と連携した攻撃者がいかに迅速に新たな脆弱性を武器化し、防御側が重要なシステムにパッチを適用する能力を低下させるかを示している」とセキュリティ企業Trelixの研究者らは書いている。 「最初のフィッシングからメモリ内バックドア、二次インプラントに至るこのキャンペーンのモジュール式感染チェーンは、信頼できるチャネル (HTTPS からクラウド サービス、正規の電子メール フロー) とファイルレス テクノロジを活用して目立たないように慎重に設計されています。」

72 時間にわたるスピア フィッシング キャンペーンは 1 月 28 日に始まり、主に東ヨーロッパを中心とする 9 か国の組織を標的とし、少なくとも 29 種類の電子メールを送信しました。 Trelixはそのうちの8カ国を挙げた：ポーランド、スロベニア、トゥルキエ、ギリシャ、アラブ首長国連邦、ウクライナ、ルーマニア、ボリビア。標的となった組織は国防省（40％）、運輸・物流事業者（35％）、外交機関（25％）だった。