به گزارش کمیته رکن چهارم- تیم واکنش به رخدادهای رایانهای اوکراین (CERT-UA) اعلام کرده است هکرهای روسی در حال بهرهبرداری فعال از آسیبپذیری روز-صفر CVE-2026-21509 در Microsoft Office هستند؛ نقصی که بهتازگی توسط مایکروسافت در یک بهروزرسانی اضطراری (Out-of-Band) وصله شده است.
مایکروسافت در ۲۶ ژانویه این آسیبپذیری را بهعنوان یک نقص در حال سوءاستفاده واقعی معرفی کرد. تنها چند روز بعد، CERT-UA شناسایی اسناد Word مخربی را گزارش داد که با سوءاستفاده از این نقص، نهادهای دولتی اوکراین را هدف قرار داده بودند. این اسناد عمدتاً با موضوع رایزنیهای اتحادیه اروپا درباره اوکراین طراحی شده و در برخی موارد از طریق ایمیلهایی با جعل هویت سازمانهای دولتی توزیع شدهاند.
بررسی فراداده این فایلها نشان میدهد اسناد مخرب تنها یک روز پس از انتشار وصله مایکروسافت ساخته شدهاند؛ موضوعی که سرعت بالای مهاجمان در عملیاتیکردن این آسیبپذیری را نشان میدهد. CERT-UA این حملات را به گروه APT28 نسبت داده است؛ یک گروه وابسته به دولت روسیه که با نامهای Fancy Bear و Sofacy نیز شناخته میشود و به اداره اطلاعات نظامی روسیه (GRU) ارتباط دارد.
بر اساس گزارش CERT-UA، باز کردن فایلهای مخرب یک زنجیره آلودگی مبتنی بر WebDAV را فعال میکند که شامل COM Hijacking، بارگذاری یک DLL مخرب و در نهایت اجرای فریمورک بدافزاری COVENANT است. این بدافزار پیشتر نیز در حملات منتسب به APT28 مشاهده شده بود.
همچنین مشخص شده است که این کمپین تنها به اوکراین محدود نمانده و نمونههایی از استفاده از اسناد مخرب مشابه علیه سازمانهایی در اتحادیه اروپا نیز شناسایی شده است.
CERT-UA و مایکروسافت به سازمانها توصیه کردهاند هرچه سریعتر آخرین وصلههای امنیتی Office را نصب کنند، برنامههای Office را ریاستارت کرده و در صورت تأخیر در وصله، از راهکارهای موقت کاهش ریسک استفاده کنند. این نهادها تأکید کردهاند که آسیبپذیریهای وصلهشده اما اصلاحنشده (N-day) همچنان یکی از سریعترین مسیرهای نفوذ برای بازیگران تهدید دولتی محسوب میشوند.
