Cyberangriffe auf Europa: Russische Hacker attackieren Office-Nutzer
Eine bekannte Hackergruppe aus Russland nutzt eine Sicherheitslücke in Microsoft Office aus, für die erst kürzlich ein Patch erschienen ist . Sicherheitsforscher von Zscaler führen die Angriffsaktivitäten in einem Blogbeitrag(öffnet im neuen Fenster) auf APT28 zurück. Die Gruppe ist auch unter Namen wie Fancy Bear und Sofacy bekannt, wird dem russischen Militärgeheimdienst GRU zugeordnet und fiel schon früher durch Spionageangriffe auf europäische Ziele auf – auch auf Ziele in Deutschland .
Bei der ausgenutzten Sicherheitslücke handelt es sich um CVE-2026-21509(öffnet im neuen Fenster) . Sie betrifft Microsoft 365 und andere gängige Office-Versionen wie Microsoft Office 2016, 2019, 2021 LTSC und 2024 LTSC. Angreifer können die Lücke ausnutzen, um Sicherheitsmechanismen in Verbindung mit COM/OLE-Steuerelementen zu umgehen und dadurch potenziell Schadcode zur Ausführung zu bringen.
Microsoft hatte schon am 26. Januar vor einer aktiven Ausnutzung der Lücke gewarnt, nannte jedoch damals keine Details dazu. Bei der von Zscaler beobachteten und Operation Neusploit genannten Angriffskampagne kamen derweil speziell gestaltete RTF-Dateien zum Einsatz. Diese auf einem anfälligen System zu öffnen, setzt eine Infektionskette in Gang, die unter anderem eine Minidoor genannte Backdoor-Malware einrichtet.
Angreifer ködern in mehreren Sprachen
Zu den jüngsten Angriffszielen von APT28 zählen laut Zscaler Office-Nutzer aus der Ukraine sowie aus anderen europäischen Ländern wie Rumänien und der Slowakei. Dem Bericht zufolge setzt die Hackergruppe bei den beobachteten Angriffen auf Social Engineering und arbeitet mit englischsprachigen Ködern sowie in der Landessprache der jeweiligen Opfer.
Unabhängig von Zscaler hatte auch das ukrainische Cert-UA kürzlich eine Warnung vor beobachteten Angriffsversuchen von APT28 in Verbindung mit CVE-2026-21509 herausgegeben(öffnet im neuen Fenster) . Den Angaben zufolge haben ukrainische Behörden in mehr als 60 verschiedenen E-Mail-Postfächern entsprechend präparierte Dokumente empfangen.
Wer sich vor derartigen Angriffen schützen will, sollte die verfügbaren Updates einspielen . Bei Microsoft Office 2016 und 2019 müssen diese manuell installiert werden. Neuere Office-Anwendungen erhalten den Patch hingegen aufgrund einer serverseitigen Korrektur automatisch. In diesem Fall reicht ein Neustart der Office-Apps aus, damit der Patch wirksam wird. Alternativ nennt Microsoft im Security Advisory zu CVE-2026-21509(öffnet im neuen Fenster) mögliche Eingriffe in die Registry, mit denen sich die Lücke ebenfalls stopfen lässt.