APT28 Hackerları, Devlet Kurumlarını Ele Geçirmek İçin Microsoft Office Güvenlik Açığından Yararlanıyor

APT28 olarak bilinen Rus devlet destekli aktörler, Avrupa genelinde yüksek değerli hükümet ve askeri varlıkları hedef alan sofistike bir siber casusluk kampanyası başlattı. Öncelikli hedefler arasında Polonya, Ukrayna ve Türkiye gibi ülkelerdeki denizcilik ve taşımacılık organizasyonları yer alıyor. Saldırganlar, Microsoft Office'te CVE -2026 -21509 olarak izlenen kritik bir güvenlik açığından aktif olarak yararlanıyor. Bu güvenlik açığı, tehdit aktörlerinin yerleşik korumaları atlamasına ve güvenliği ihlal edilmiş sistemlerde kötü amaçlı kodları endişe verici bir şekilde kolayca yürütmesine olanak tanır. Saldırı, acil resmi yazışmaları taklit etmek için hazırlanmış yüksek hedefli mızraklı kimlik avı e – postalarıyla başlıyor. Bu aldatıcı mesajlar, alıcıları kandırmak için silah kaçakçılığıyla ilgili uyarılar veya askeri eğitim programlarına davetiyeler gibi jeopolitik cazibeler kullanır. Bir mağdur silahlandırılmış belgeyi açtığında, istismar, makroları etkinleştirmek gibi herhangi bir etkileşim gerektirmeden otomatik olarak tetiklenir. Bu "sıfır tıklama" yeteneği, saldırıyı özellikle savunma bakanlıklarına ve diplomatik kurumlara karşı güçlü kılıyor. Trellix analistleri bu kötü niyetli faaliyeti belirlediler ve kamuya açıklanmasından sonraki yirmi dört saat içinde kusuru silah haline getirdiklerini belirterek düşmanın hızını vurguladılar. Saldırı belgeleri, saldırgan tarafından kontrol edilen altyapıdan harici yükleri almak için WebDAV protokolünden yararlanan özel olarak hazırlanmış gömülü nesneleri kullanır. Bu yöntem, kötü amaçlı trafiği meşru web istekleri olarak gizleyerek standart ağ savunmalarını etkili bir şekilde atlatır ve davetsiz misafirlerin tespit edilmeden bir dayanak oluşturmasına izin verir. APT28 tarafından kullanılan çok aşamalı enfeksiyon zinciri (Kaynak – Trellix)

Başarılı bir şekilde istismar edildikten sonra, bilgisayar korsanları konumlarını güvence altına almak için çeşitli özel kötü amaçlı yazılım cephaneleri kullanırlar. Birincil yükler arasında "BeardShell" adlı bir C++ implantı ve "NotDoor" adlı özel bir Outlook arka kapısı yer alıyor.