Ρώσοι χάκερ (APT28) στοχεύουν χρήστες του Microsoft Office μέσω νέου κενού ασφαλείας

Ρώσοι χάκερ επιτίθενται σε χρήστες του Office: Συναγερμός για την ομάδα APT28

Η ομάδα χάκερ APT28, η οποία έχει συνδεθεί με τον ρωσικό στρατό, έχει βάλει στο στόχαστρο χρήστες του Microsoft Office και εισάγει κακόβουλο λογισμικό (malware) εκμεταλλευόμενη ένα κενό ασφαλείας.

Μια γνωστή ομάδα χάκερ από τη Ρωσία εκμεταλλεύεται μια ευπάθεια στο Microsoft Office, για την οποία μόλις πρόσφατα κυκλοφόρησε σχετικό patch (διορθωτικό αρχείο).

Ερευνητές ασφαλείας της Zscaler συνδέουν τις δραστηριότητες επίθεσης με την ομάδα APT28 σε σχετική ανάρτηση στο blog τους.

Η ομάδα είναι επίσης γνωστή με ονόματα όπως Fancy Bear και Sofacy, αποδίδεται στη ρωσική στρατιωτική υπηρεσία πληροφοριών GRU και έχει απασχολήσει και στο παρελθόν με επιθέσεις κατασκοπείας σε ευρωπαϊκούς στόχους – συμπεριλαμβανομένων στόχων στη Γερμανία.

Το κενό ασφαλείας CVE-2026-21509

Το κενό ασφαλείας που αξιοποιείται είναι το CVE-2026-21509. Επηρεάζει το Microsoft 365 καθώς και άλλες κοινές εκδόσεις του Office, όπως το Microsoft Office 2016, 2019, 2021 LTSC και 2024 LTSC.

Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν αυτό το κενό για να παρακάμψουν μηχανισμούς ασφαλείας που σχετίζονται με τα στοιχεία ελέγχου COM/OLE και, μέσω αυτού, να εκτελέσουν ενδεχομένως κακόβουλο κώδικα.

Η Microsoft είχε προειδοποιήσει ήδη από τις 26 Ιανουαρίου για ενεργή εκμετάλλευση του κενού ασφαλείας, ωστόσο τότε δεν έδωσε λεπτομέρειες.

Στην εκστρατεία επίθεσης που παρατηρήθηκε από τη Zscaler και ονομάστηκε Operation Neusploit, χρησιμοποιήθηκαν ειδικά σχεδιασμένα αρχεία RTF.

Το άνοιγμα αυτών των αρχείων σε ένα ευάλωτο σύστημα θέτει σε κίνηση μια αλυσίδα μόλυνσης, η οποία, μεταξύ άλλων, εγκαθιστά ένα backdoor malware με την ονομασία Minidoor.

Επηρεαζόμενες εκδόσεις λογισμικού

Οι επιτιθέμενοι χρησιμοποιούν δολώματα σε πολλές γλώσσες

Σύμφωνα με τη Zscaler, στους πρόσφατους στόχους της APT28 περιλαμβάνονται χρήστες του Office από την Ουκρανία, καθώς και από άλλες ευρωπαϊκές χώρες όπως η Ρουμανία και η Σλοβακία.

Σύμφωνα με την αναφορά, η ομάδα χάκερ βασίζεται στην κοινωνική μηχανική (social engineering) κατά τις επιθέσεις που παρατηρήθηκαν και εργάζεται με αγγλόφωνα “δολώματα” καθώς και στη γλώσσα των εκάστοτε θυμάτων.

Ανεξάρτητα από τη Zscaler, η ουκρανική Cert-UA εξέδωσε επίσης πρόσφατα προειδοποίηση για παρατηρηθείσες απόπειρες επίθεσης από την APT28 σε σχέση με το CVE-2026-21509.

Σύμφωνα με τα στοιχεία, οι ουκρανικές αρχές έλαβαν κατάλληλα προετοιμασμένα έγγραφα σε περισσότερες από 60 διαφορετικές θυρίδες ηλεκτρονικού ταχυδρομείου.

Πως να προστατευτείτε

Όσοι θέλουν να προστατευτούν από τέτοιου είδους επιθέσεις, πρέπει να εγκαταστήσουν τις διαθέσιμες ενημερώσεις. Για το Microsoft Office 2016 και 2019, αυτές πρέπει να εγκατασταθούν χειροκίνητα.

Αντίθετα, οι νεότερες εφαρμογές Office λαμβάνουν το patch αυτόματα λόγω μιας διόρθωσης από την πλευρά του διακομιστή (server-side).

Σε αυτή την περίπτωση, αρκεί μια επανεκκίνηση των εφαρμογών Office για να τεθεί σε ισχύ το patch.

Εναλλακτικά, η Microsoft αναφέρει στο Security Advisory για το CVE-2026-21509 πιθανές παρεμβάσεις στο Μητρώο (Registry), με τις οποίες μπορεί επίσης να κλείσει το κενό ασφαλείας.

Η γεωπολιτική διάσταση του κυβερνοπολέμου και πρακτικά μέτρα

Η δράση της ομάδας APT28 (γνωστή και ως Fancy Bear) δεν είναι απλώς ένα ακόμη περιστατικό κυβερνοασφάλειας, αλλά μέρος ενός ευρύτερου υβριδικού πολέμου. Η στόχευση χωρών όπως η Ουκρανία, η Ρουμανία και η Σλοβακία δεν είναι τυχαία.

Πρόκειται για χώρες που βρίσκονται στην “πρώτη γραμμή” των γεωπολιτικών εντάσεων στην Ανατολική Ευρώπη.

Η χρήση εγγράφων στη μητρική γλώσσα των θυμάτων αποδεικνύει ότι οι επιθέσεις είναι εξαιρετικά στοχευμένες (spear-phishing) και όχι μαζικές, τυχαίες αποστολές spam.

Γιατί τα αρχεία RTF είναι επικίνδυνα;

Πολλοί χρήστες θεωρούν εσφαλμένα ότι τα αρχεία κειμένου (όπως τα .rtf ή .doc) είναι ακίνδυνα σε σύγκριση με τα εκτελέσιμα αρχεία (.exe). Ωστόσο, η ευπάθεια CVE-2026-21509 αποδεικνύει το αντίθετο. Τα αρχεία RTF (Rich Text Format) είναι ιδιαίτερα δημοφιλή στους χάκερ επειδή:

• Μπορούν να ενσωματώσουν αντικείμενα OLE που εκτελούν κώδικα στο παρασκήνιο.
• Συχνά δεν ενεργοποιούν τις ίδιες προειδοποιήσεις ασφαλείας με τα αρχεία μακροεντολών (macros).
• Παρακάμπτουν ευκολότερα ορισμένα φίλτρα email gateway.

Checklist ασφαλείας για επιχειρήσεις και ιδιώτες

Πέρα από την άμεση εγκατάσταση των ενημερώσεων που αναφέρει η Microsoft, οι χρήστες και οι διαχειριστές συστημάτων πρέπει να λάβουν επιπλέον μέτρα:

1. Απενεργοποίηση ActiveX και OLE: Εάν η επιχείρησή σας δεν χρησιμοποιεί παλαιά πρόσθετα, ρυθμίστε τις πολιτικές ασφαλείας (Group Policy) ώστε να μπλοκάρουν την εκτέλεση στοιχείων ActiveX και OLE στα έγγραφα του Office.
2. Χρήση EDR (Endpoint Detection and Response): Τα παραδοσιακά antivirus συχνά αδυνατούν να εντοπίσουν εξελιγμένες επιθέσεις “Zero-Day” ή in-memory malware όπως το Minidoor. Ένα σύστημα EDR μπορεί να ανιχνεύσει την ασυνήθιστη συμπεριφορά της εφαρμογής Word (π.χ. αν το Word προσπαθήσει να ανοίξει μια σύνδεση δικτύου προς άγνωστο διακομιστή).
3. Προβολή σε Protected View: Μην απενεργοποιείτε ποτέ την “Προστατευμένη Προβολή” (Protected View) για έγγραφα που κατεβάζετε από το διαδίκτυο ή λαμβάνετε μέσω email, εκτός αν είστε απόλυτα σίγουροι για την πηγή.

Η “Επιχείρηση Neusploit” υπενθυμίζει ότι το λογισμικό γραφείου παραμένει η “κερκόπορτα” για την εισβολή σε κρίσιμα δίκτυα. Η εκπαίδευση του προσωπικού στην αναγνώριση ύποπτων email είναι εξίσου σημαντική με τις τεχνικές αναβαθμίσεις.