CVE-2026-21509 Microsoft Office の脆弱性

ロシアと関連のある国家支援の脅威アクターAPT28（UAC-0001としても追跡）は、新たに公開されたMicrosoft Officeの脆弱性を悪用した新たな一連のサイバー攻撃に関与しているとみられています。この活動は「Operation Neusploit」というキャンペーン名で追跡されており、公開後、実際に悪用された最も初期の事例の一つとなっています。

セキュリティ研究者は、マイクロソフトが脆弱性を公表してからわずか3日後の2026年1月29日に、このグループがウクライナ、スロバキア、ルーマニアのユーザーを標的にしてこの欠陥を武器化しているのを観察した。

CVE-2026-21509: 実世界に影響を与えるセキュリティ機能のバイパス

悪用された脆弱性（CVE-2026-21509）は、CVSSスコア7.8で、Microsoft Officeに影響を与えます。セキュリティ機能のバイパスとして分類されるこの脆弱性により、攻撃者は細工されたOfficeドキュメントを配信することができ、適切な権限なしに起動され、より広範な攻撃チェーンの一部として任意のコード実行が可能になります。

地域特有のソーシャルエンジニアリングと回避戦術

このキャンペーンは、カスタマイズされたソーシャルエンジニアリングを多用していました。ルアー文書は英語に加え、ルーマニア語、スロバキア語、ウクライナ語で作成され、現地の標的の信頼性を高めました。配信インフラにはサーバー側の回避策が組み込まれており、悪意のあるDLLペイロードは、リクエストが意図した地域から発信され、想定されるUser-Agent HTTPヘッダーが含まれている場合にのみ配信されるよう設定されていました。

悪意のあるRTFファイルによる二重ドロッパー戦略

この攻撃の中核は、悪意のあるRTF文書を用いてCVE-2026-21509を悪用し、それぞれ異なる運用目的を持つ2種類のドロッパーのうち1つを展開することです。1つのドロッパーは電子メール窃取機能を提供し、もう1つのドロッパーはより複雑な多段階の侵入を開始し、最終的にフル機能を備えたコマンドアンドコントロールインプラントを展開します。

MiniDoor: 標的型 Outlook メール盗難

最初のドロッパーは、受信トレイ、迷惑メール、下書きなどのMicrosoft Outlookフォルダからメールデータを収集するC++ベースのDLLであるMiniDoorをインストールします。盗まれたメッセージは、攻撃者が管理する2つのハードコードされたメールアカウントに送信されます。
ahmeclaw2002@outlook[.]com および ahmeclaw@proton[.]me。

MiniDoor は、2025 年 9 月に文書化されたツールである NotDoor (GONEPOSTAL とも呼ばれる) の軽量派生版であると評価されています。

PixyNetLoaderとコヴナントインプラントチェーン

2つ目のドロッパー「PixyNetLoader」は、より高度な攻撃シーケンスを可能にします。埋め込まれたコンポーネントを抽出し、COMオブジェクトのハイジャックによって永続性を確立します。抽出されたファイルには、「EhStoreShell.dll」というシェルコードローダーと、「SplashScreen.png」というPNG画像が含まれています。

ローダーの役割は、ステガノグラフィを用いてイメージ内に隠されたシェルコードを抽出し、実行することです。この悪意のあるロジックは、ホスト環境が分析サンドボックスとして識別されておらず、かつDLLがexplorer.exeによって起動された場合にのみ活性化され、それ以外の場合は検出を回避するために休止状態のままとなります。

デコードされたシェルコードは最終的に、埋め込まれた.NETアセンブリをロードします。これは、オープンソースのコマンドアンドコントロールフレームワークCOVENANTに関連するGruntインプラントです。APT28によるCovenant Gruntの以前の使用は、2025年9月のOperation Phantom Net Voxelで既に記録されています。

オペレーション・ファントム・ネット・ボクセルによる戦術的継続性

Operation Neusploitでは、以前のキャンペーンのVBAマクロ実行手法がDLLベースのアプローチに置き換えられていますが、その基盤となる手法はほぼ一貫しています。具体的には以下のとおりです。

• 実行と永続化のための COM ハイジャック
• DLLプロキシメカニズム
• XORベースの文字列難読化
• PNG画像内へのシェルコードローダーとCovenant Gruntペイロードのステガノグラフィ埋め込み

この継続性は、APT28 がまったく新しいツールを採用するのではなく、実績のある技術を進化させることを好んでいることを浮き彫りにしています。

CERT-UAの警告はより広範な標的を裏付ける

このキャンペーンは、ウクライナのコンピュータ緊急対応チーム（CERT-UA）によるアドバイザリと同時期に発せられたもので、APT28がMicrosoft Word文書を介してCVE-2026-21509を悪用する可能性があると警告していました。この活動は、ウクライナの中央執行機関に関連する60以上のメールアドレスを標的としました。メタデータ分析の結果、少なくとも1つのルアー文書が2026年1月27日に作成されたことが示され、この脆弱性が急速に実用化されたことがさらに強調されました。

WebDAVベースの配信と最終ペイロード実行

分析の結果、Microsoft Officeで悪意のあるドキュメントを開くと、外部リソースへのWebDAV接続がトリガーされることが判明しました。この接続により、ショートカット形式の名前を持つ、埋め込まれたプログラムコードを含むファイルがダウンロードされ、追加のペイロードが取得されて実行されます。

このプロセスは最終的に PixyNetLoader 感染チェーンをミラーリングし、COVENANT フレームワークの Grunt インプラントの展開につながり、攻撃者に侵害されたシステムへの永続的なリモート アクセスを許可します。