ทีมตอบสนองภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT) ระบุว่า แฮ็กเกอร์ชาวรัสเซียกำลังใช้ประโยชน์จากช่องโหว่ CVE-2026-21509 ซึ่งเป็นช่องโหว่ใน Microsoft Office หลายเวอร์ชันที่เพิ่งได้รับการออกแพตช์แก้ไขไปเมื่อเร็ว ๆ นี้
เมื่อวันที่ 26 มกราคม Microsoft ได้ปล่อยอัปเดตความปลอดภัยฉุกเฉิน โดยระบุว่า CVE-2026-21509 เป็นช่องโหว่แบบ Zero-day ที่กำลังถูกนำไปใช้ในการโจมตีอย่างแพร่หลาย
CERT-UA ตรวจพบการแพร่กระจายไฟล์ DOC ที่เป็นอันตรายที่ใช้โจมตีช่องโหว่นี้ โดยมีเนื้อหาเกี่ยวกับการประชุม EU COREPER ในยูเครน เพียงสามวันหลังจากที่ Microsoft แจ้งเตือน
ในบางกรณี พบว่ามีการส่งอีเมลโดยแอบอ้างว่าเป็น ศูนย์อุตุนิยมวิทยา และชลศาสตร์แห่งยูเครน และถูกส่งไปยังที่อยู่ที่เกี่ยวข้องกับหน่วยงานราชการกว่า 60 แห่ง
อย่างไรก็ตาม ทางหน่วยงานระบุว่าจากการตรวจสอบ Metadata ของไฟล์เอกสาร พบว่ามันถูกสร้างขึ้นเพียง 1 วัน หลังจากที่มีการปล่อยอัปเดตความปลอดภัยฉุกเฉินออกมา
ทาง CERT ของยูเครนระบุว่าผู้อยู่เบื้องหลังการโจมตีนี้คือกลุ่ม APT28 ซึ่งเป็นกลุ่มที่รู้จักกันในชื่อ Fancy Bear และ Sofacy และเป็นกลุ่มที่มีความเชื่อมโยงกับ หน่วยข่าวกรองทางทหารของรัสเซีย (GRU)
การเปิดเอกสารที่เป็นอันตรายจะเป็นการเริ่มกระบวนการดาวน์โหลดผ่าน WebDAV ซึ่งจะนำไปสู่การติดตั้งมัลแวร์โดยใช้เทคนิคที่เรียกว่า COM Hijacking รวมถึงไฟล์ DLL ที่เป็นอันตราย (EhStoreShell.dll), โค้ดที่เป็นอันตรายที่ซ่อนอยู่ในไฟล์รูปภาพ (SplashScreen.png) และ scheduled task ที่กำหนดเวลาไว้ (OneDriveHealth)
รายงานจาก CERT-UA ระบุว่า "การทำงานของ Scheduled Task จะสั่งให้ปิด และเริ่ม process explorer.exe ใหม่ ซึ่งกระบวนการนี้จะถูกโจมตีด้วยเทคนิค COM Hijacking ส่งผลให้ไฟล์ EhStoreShell.dll ถูกโหลดขึ้นมาทำงานได้"
“ไฟล์ DLL ดังกล่าวจะสั่งรัน Shellcode ที่ซ่อนอยู่ในไฟล์รูปภาพ ซึ่งจะทำให้ซอฟต์แวร์ COVENANT (Framework) เริ่มทำงานบนคอมพิวเตอร์”
นี่คือ Malware Loader ตัวเดียวกับที่ CERT-UA เคยตรวจพบว่าเชื่อมโยงกับการโจมตีของกลุ่ม APT28 ในเดือนมิถุนายน 2025 ซึ่งในครั้งนั้นผู้โจมตีใช้ Signal chats เป็นช่องทางในการส่งมัลแวร์ BeardShell และ SlimAgent ไปยังหน่วยงานรัฐบาลในยูเครน
หน่วยงานรายงานว่า COVENANT ใช้บริการพื้นที่จัดเก็บข้อมูลบนคลาวด์ Filen (filen.io) สำหรับปฏิบัติการสั่งการ และควบคุม (C2) การเฝ้าระวังการเชื่อมต่อเครือข่ายที่เกี่ยวข้องกับแพลตฟอร์มนี้ หรือการบล็อกการเชื่อมต่อเหล่านั้นโดยสิ้นเชิง จะช่วยเพิ่มประสิทธิภาพในการป้องกันภัยคุกคามนี้ได้
การสืบสวนเพิ่มเติมพบว่า APT28 ใช้เอกสารอีก 3 ฉบับในการโจมตีองค์กรต่าง ๆ ใน สหภาพยุโรป ซึ่งแสดงให้เห็นว่าแคมเปญนี้ขยายวงกว้างออกไปนอกเหนือจากยูเครน โดยในกรณีหนึ่งพบว่าโดเมนที่ใช้สนับสนุนการโจมตีถูกจดทะเบียนในวันเดียวกับที่เริ่มปฏิบัติการ
ขอแนะนำให้องค์กรต่าง ๆ ติดตั้งการอัปเดตความปลอดภัยล่าสุดสำหรับ Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 และแอปพลิเคชัน Microsoft 365 สำหรับ Office 2021 และเวอร์ชันที่ใหม่กว่า โปรดตรวจสอบให้แน่ใจว่าผู้ใช้รีสตาร์ทแอปพลิเคชันเพื่อให้การอัปเดตมีผล
หากไม่สามารถแก้ไขช่องโหว่ได้ทันที ขอแนะนำให้ปฏิบัติตามคำแนะนำในการแก้ไขปัญหาโดยใช้ Registry ตามที่ระบุไว้ในบทความก่อนหน้าของเราเกี่ยวกับช่องโหว่นี้
ก่อนหน้านี้ Microsoft ระบุว่า Protected View ของ Defender ช่วยเพิ่มชั้นความปลอดภัยได้อีกระดับ โดยจะบล็อกไฟล์ Office อันตรายที่มาจากอินเทอร์เน็ตเว้นแต่ผู้ใช้จะระบุการอนุญาตอย่างชัดเจน
ที่มา : bleepingcomputer
You must be logged in to post a comment.