概要

ロシアを拠点とする国家支援型脅威アクターAPT28（別名UAC-0001）が、Microsoft Officeの新たに開示されたゼロデイ脆弱性「CVE-2026-21509」を悪用した攻撃に関与していることが判明しました。このキャンペーンは「Operation Neusploit」と名付けられ、ウクライナ、スロバキア、ルーマニアのユーザーを標的としています。

脆弱性の詳細

CVE-2026-21509（CVSSスコア：7.8）は、Microsoft Officeにおけるセキュリティ機能のバイパス脆弱性です。これにより、不正な攻撃者が特別に細工されたOfficeファイルを送信することで、脆弱性をトリガーすることが可能となります。Microsoftがこのバグの存在を公に開示したわずか3日後の2026年1月29日には、Zscaler ThreatLabzがAPT28によるこの脆弱性の悪用を確認しています。

巧妙な攻撃手法

攻撃者は、ターゲットとなる各国の言語（ルーマニア語、スロバキア語、ウクライナ語、英語）でソーシャルエンジニアリングの手口を用いたおとりを仕掛けていました。さらに、悪意のあるDLLは、要求が特定の地理的地域から発信され、かつ正しいUser-Agent HTTPヘッダーを含んでいる場合にのみ応答するという、サーバーサイドでの回避技術も採用されています。

多段階の攻撃チェーン

攻撃チェーンは、悪意のあるRTFファイルを通じて脆弱性を悪用し、2種類の異なるドロッパーを展開します。

• MiniDoor: C++ベースのDLLファイルで、ユーザーのOutlookメール（受信トレイ、迷惑メール、下書きなど）を盗み出し、特定の攻撃者指定のメールアドレスに転送します。これは以前報告された「NotDoor（別名GONEPOSTAL）」の簡易版と評価されています。
• PixyNetLoader: さらに入念な攻撃チェーンを開始するドロッパーで、Covenant Gruntインプラントを展開します。永続化のためにCOMオブジェクトハイジャックを利用し、「EhStoreShell.dll」というシェルコードローダーと、シェルコードをステガノグラフィーで隠したPNG画像（「SplashScreen.png」）といったペイロードが含まれています。このローダーは、感染したマシンが分析環境ではない場合、かつ「explorer.exe」によってDLLが起動された場合にのみ悪意のあるロジックをアクティブ化します。

APT28の過去のキャンペーンとの類似性

PixyNetLoaderの感染チェーンは、Sekoiaが2025年9月に報告した「Operation Phantom Net Voxel」と顕著な重複が見られます。以前のキャンペーンではVBAマクロが使用されていましたが、今回の活動ではDLLに置き換えられつつも、COMハイジャック、DLLプロキシ、XOR文字列暗号化技術、ステガノグラフィーによるPNG内へのCovenant Gruntインプラント埋め込みなど、類似した手法が保持されています。

ウクライナ政府機関への攻撃

ウクライナのコンピュータ緊急対応チーム（CERT-UA）も、APT28がCVE-2026-21509を悪用して、同国の中央政府機関の60以上のメールアドレスを標的としたWordドキュメントを使用していると警告しています。調査により、おとり文書の1つが2026年1月27日に作成されたことが明らかになりました。

CERT-UAの報告によると、Microsoft Officeでドキュメントを開くと、WebDAVプロトコルを使用して外部リソースへのネットワーク接続が確立され、プログラムコードを含むショートカットファイルがダウンロードされます。このコードは実行ファイルをダウンロードおよび実行するように設計されており、結果としてPixyNetLoaderと同一の攻撃チェーンがトリガーされ、COVENANTフレームワークのGruntインプラントが展開されるとのことです。

結論

APT28によるMicrosoft Officeの新たなゼロデイ脆弱性悪用は、特に政府機関を標的とした高度で持続的な脅威であることを示しています。組織は、最新のセキュリティパッチを適用し、不審なメールやファイルには細心の注意を払うとともに、多層的な防御策を講じることが急務です。

---

元記事: https://thehackernews.com/2026/02/apt28-uses-microsoft-office-cve-2026.html