Yapılan son analizlere göre, APT28 (UAC-0001 olarak da bilinen) tehdit grubu, Microsoft Office’teki kritik bir güvenlik açığını kullanarak kapsamlı bir casusluk kampanyası yürütüyor. CVE-2026-21509 kodlu bu zafiyet, Microsoft Office’in güvenlik mekanizmasını atlayarak özel hazırlanmış dosyaların kötü amaçlı kod çalıştırmasına olanak tanıyor. Saldırılar özellikle 29 Ocak 2026 tarihinde Ukrayna, Slovakya ve Romanya’daki kullanıcıları hedef aldı.
Saldırı Zinciri ve Teknik Detaylar
Kampanya, “Operation Neusploit” adıyla anılıyor ve saldırı zinciri, hedeflenen kullanıcılara gönderilen kötü amaçlı RTF dosyalarının açılmasıyla başlıyor. Bu dosyalar, iki farklı dropper varyantı içeriyor: MiniDoor ve PixyNetLoader. MiniDoor, Outlook e-posta kutusundaki mesajları çalmak için kullanılan C++ tabanlı bir e-posta hırsızı olarak işlev görüyor. Bu araç, daha önce S2 Grupo LAB52 tarafından NotDoor (GONEPOSTAL) adıyla belgelenen zararlının sadeleştirilmiş versiyonu olarak değerlendiriliyor.
PixyNetLoader ise daha karmaşık bir yapıya sahip ve COM nesne kaçırma yöntemiyle kalıcılık sağlıyor. İçinde steganografi ile gizlenmiş shellcode ve PNG formatında bir resim barındırıyor. Bu shellcode, enfekte makinede yalnızca analiz ortamı değilse ve işlem “explorer.exe” ise çalıştırılıyor. Sonrasında, açık kaynak .NET COVENANT C2 çerçevesiyle ilişkili Grunt implantı yükleniyor. Bu implant, saldırganların hedef sistem üzerinde komut ve kontrol sağlamasına olanak tanıyor.
Hedefler ve Bölgesel Odak
Saldırılar, özellikle Ukrayna, Slovakya ve Romanya’daki devlet kurumları ve kritik altyapı çalışanlarını hedef alıyor. Sosyal mühendislik teknikleri, İngilizce ve yerel dillerde (Romence, Slovakça, Ukraynaca) hazırlanmış tuzak içeriklerle destekleniyor. Ayrıca, saldırganlar sunucu tarafı kaçınma teknikleri kullanarak zararlı DLL’yi yalnızca belirli coğrafi bölgelerden ve doğru User-Agent başlığıyla gelen isteklerde aktif hale getiriyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler
- Microsoft Office ve ilgili ürünler için CVE-2026-21509 yamasını acilen uygulayın.
- E-posta güvenliği çözümlerinde RTF ve Office dosyalarındaki makro ve dış bağlantı aktivitelerini izleyin.
- EDR sistemlerinde COM nesne kaçırma ve DLL yükleme davranışlarını tespit edecek kurallar oluşturun.
- Network segmentasyonuyla kritik sistemlerin dış dünya ile iletişimini sınırlandırın.
- SIEM çözümlerinde WebDAV protokolü ve şüpheli dış kaynak bağlantılarını loglayın ve analiz edin.
- Çok faktörlü kimlik doğrulama (MFA) ile erişim kontrollerini güçlendirin.
- Analiz ortamı tespiti yapan zararlılara karşı sandbox ve honeypot sistemleri kullanarak erken uyarı mekanizmaları geliştirin.
- Olay müdahale planlarınızı güncelleyerek bu tür saldırı zincirlerine karşı hızlı aksiyon alın.
Teknik Özet
- Kullanılan zararlılar: MiniDoor (Outlook e-posta hırsızı), PixyNetLoader (dropper), EhStoreShell.dll (shellcode yükleyici), Covenant Grunt implantı.
- Hedef Bölgeler: Ukrayna, Slovakya, Romanya.
- İstismar Edilen Zafiyet: CVE-2026-21509 (Microsoft Office güvenlik açığı) NVD Link.
- Saldırı Zinciri: Kötü amaçlı RTF dosyası → Dropper teslimi (MiniDoor ve PixyNetLoader) → Shellcode çözümleme ve çalıştırma → .NET tabanlı Covenant Grunt implantının yüklenmesi.
- Önerilen Savunma Yaklaşımı: Güncel yamaların uygulanması, e-posta güvenliği ve ağ segmentasyonu, EDR ve SIEM ile anomali tespiti, MFA kullanımı.
Bu saldırılar, özellikle kurumsal ortamlarda e-posta güvenliği ve olay müdahale süreçlerinin önemini bir kez daha ortaya koyuyor. Fidye yazılımı ve diğer zararlı yazılım türlerinden farklı olarak, bu kampanya casusluk ve veri sızıntısı odaklı olup, bulut güvenliği ve ağ segmentasyonu gibi alanlarda da dikkatli olunmasını gerektiriyor.