Fancy Bearとして知られるロシア関連のハッカーが、Operation Neusploitと呼ばれる巧妙なサイバー攻撃を開始しました。彼らはMicrosoftのRTFファイルに存在する新たなゼロデイ欠陥CVE-2026-21509を悪用し、中東欧の標的からメールを盗み出しています。
Microsoftは2026年1月26日に緊急パッチを急いで公開しました。しかしハッカーはそのわずか数日後の1月29日には、実際の攻撃でこの欠陥を使い始めました。狙いは? バックドアを忍び込ませ、目立つ痕跡を残さずに機密性の高いOutlookメールを奪い取ることです。
被害者には、罠を仕込んだRTFファイル付きのフィッシングメールが届きます。開くと、MicrosoftのRTF解析処理におけるバグであるCVE-2026-21509が発動します。これにより攻撃者は、被害者のWindowsマシン上でコードを実行できます。
次に、このエクスプロイトはハッカーのサーバーから悪意のあるDLLドロッパーを取得します。巧妙な回避策も働きます。サーバーは、要求が標的国から来ており、特定のブラウザヘッダーを含む場合にのみ悪性ファイルを返します。部外者には手が出ません。
ドロッパーには2つの種類があります。1つ目がMiniDoorで、スリムなC++ツールです。XOR復号を使ってOutlookのVBAプロジェクトをこじ開け、マクロ防御を弱めるためにレジストリ設定を改変します。アプリのスタートアップフォルダーに潜伏します。
Outlookが起動すると、MiniDoorはログインと新着メールを監視します。受信トレイや下書きなどのフォルダーをスキャンし、メールをまとめて、送信済みフォルダーにコピーを作らずにハッカーのアドレスへ密かに転送します。重複も追跡してスキップします。
2つ目の亜種はPixyNetLoaderを投下します。このアンローダーは、PNG画像にステガノグラフィで隠されたシェルコード、偽のEhStoreShell.dll、タスクスケジューラーファイルといったペイロードを復号します。
正規のWindows COMオブジェクトを乗っ取り、本物のDLLへの呼び出しをプロキシしながら、explorer.exeに悪性コードを読み込みます。タスクを素早く再起動させることで読み込みを強制します。
EhStoreShell.dllはスリープ時間によってサンドボックスをチェックし、その後LSBステガノグラフィを使ってPNGからシェルコードを取り出します。
シェルコードはCovenant Gruntインプラントを起動します。これはオープンソースのCovenant C2フレームワーク由来の.NETツールです。GruntはFilen API経由で本拠に通信し、XORされたBase64文字列にコマンドを隠します。
Fancy Bear(APT28)は、ロシアのGRU第26165部隊と関連付けられています。2007年から活動しており、世界中の政府、軍、NATO同盟国、そして批判者をスパイしています。
過去の攻撃ではX-AgentやZebrocy、そしてOfficeのゼロデイやFlashが使われました。ここでの関連点には、標的の一致、MiniDoorにおけるNotDoorの反響、COMの手口、そして過去の作戦で使われたPNGステガノグラフィが含まれます。
今すぐパッチを適用してください。CVE-2026-21509向けのMicrosoft更新プログラムを入手しましょう。怪しい送信元からのRTF誘導に注意してください。PolySwarmがIOCサンプルを一覧化しているようなツールを活用し、Filen APIの悪用をブロックし、Outlookの不正なレジストリ改変をスキャンしてください。
翻訳元: https://cyberpress.org/fancy-bear-exploits-zero-day/