Rus Hackerler Microsoft Office Kullanıcılarını Hedef Alıyor

Rus ordusuna bağlı APT28 hacker grubu, Microsoft Office kullanıcılarını hedef alan yeni bir saldırı kampanyası başlattı. Fancy Bear ve Sofacy isimleriyle de bilinen grup, GRU ile ilişkilendiriliyor ve daha önce Avrupa’daki casusluk saldırılarıyla gündeme gelmişti.

CVE-2026-21509 Güvenlik Açığı

Saldırılar, kısa süre önce yamalanan CVE-2026-21509 güvenlik açığı üzerinden gerçekleştiriliyor. Bu açık, Microsoft 365 ve Office 2016, 2019, 2021 LTSC, 2024 LTSC sürümlerini etkiliyor. Saldırganlar COM/OLE denetimlerini aşarak zararlı kod çalıştırabiliyor.

Operation Neusploit Kampanyası

Zscaler araştırmacılarına göre, Operation Neusploit adı verilen saldırı kampanyasında özel hazırlanmış RTF dosyaları kullanılıyor. Bu dosyaların açılması, Minidoor adlı bir arka kapı yazılımını sisteme yükleyen enfeksiyon zincirini başlatıyor.

Çok Dilli Tuzaklar

APT28, sosyal mühendislik yöntemleriyle hem İngilizce hem de hedef ülkelerin dillerinde hazırlanmış belgelerle kullanıcıları kandırıyor. Ukrayna, Romanya ve Slovakya’daki Office kullanıcıları saldırıların hedefinde.

Ukrayna’dan Uyarı

Ukrayna’nın Cert-UA kurumu, CVE-2026-21509 ile bağlantılı saldırı girişimlerine karşı uyarı yayımladı. Açıklamaya göre, 60’tan fazla e-posta kutusuna bu şekilde hazırlanmış belgeler ulaştı.

Korunma Yolları

• Mevcut güncellemeleri yükleyin.
• Office 2016 ve 2019 için yamaları manuel olarak kurun.
• Daha yeni Office sürümlerinde uygulamaları yeniden başlatın.
• Microsoft’un yayımladığı güvenlik duyurusundaki Registry müdahalelerini uygulayın.

APT28’in yeni saldırı kampanyası, Microsoft Office kullanıcıları için ciddi bir tehdit oluşturuyor. Güncellemeleri yüklemek ve güvenlik önlemlerini almak, bu tür saldırılara karşı en etkili korunma yöntemidir.