Russische hackers misbruiken nieuw lek in Microsoft Office
Slechts enkele dagen na de ontdekking van een kritiek beveiligingslek in Microsoft Office, maken aan Rusland gelieerde hackers er al op grote schaal misbruik van. Het Oekraïense nationale cyberdefensieteam (CERT-UA) waarschuwt dat overheidsinstanties in Oekraïne en organisaties binnen de Europese Unie het doelwit zijn.
De aanvallen worden toegeschreven aan de beruchte groep APT28, ook wel bekend als "Fancy Bear". De hackers maken gebruik van het lek CVE-2026-21509, een kwetsbaarheid in Microsoft Office waardoor beveiligingsfuncties kunnen worden omzeild. Hoewel Microsoft vorige week al waarschuwde voor het lek en pleisters (patches) beschikbaar stelde, bleek de reactiesnelheid van de aanvallers ongekend hoog zo meldt The Register en CERT-UA.
Flitssnelle operatie
Volgens CERT-UA doken de eerste kwaadaardige documenten al op 27 januari op, precies één dag nadat Microsoft de details van het lek publiceerde. De hackers versturen phishing-e-mails met bijlagen die inspelen op actuele thema's, zoals overleg tussen de EU en Oekraïne. Zodra een gebruiker het document opent, wordt er op de achtergrond een verbinding gemaakt met een externe server om malware te installeren, zonder dat het slachtoffer hier iets van merkt.
De uiteindelijke buit is de installatie van het COVENANT-framework, waarmee de aanvallers volledige controle over het systeem krijgen. Om onopgemerkt te blijven, vermommen ze hun dataverkeer als legitieme cloudopslag-activiteiten.
Waarschuwing voor verdere verspreiding
De campagne beperkt zich niet tot Oekraïne; ook in diverse EU-lidstaten zijn inmiddels besmette documenten aangetroffen. De Oekraïense autoriteiten vrezen dat het aantal slachtoffers de komende tijd flink zal toenemen. Veel systemen zijn namelijk nog niet bijgewerkt of kunnen vanwege verouderde software niet direct worden gepatcht. Organisaties wordt dringend geadviseerd om alle beschikbare beveiligingsupdates voor Microsoft Office onmiddellijk te installeren.
