Hacker russi sfruttano vulnerabilità di Microsoft Office
Topic
Approfondimenti
Trending
tutti

Hacker russi sfruttano vulnerabilità di Microsoft Office

Noti cybercriminali russi hanno sfruttato una vulnerabilità di Microsoft Office per avviare una campagna di spionaggio contro varie organizzazioni.
Hacker russi sfruttano vulnerabilità di Microsoft Office
Sicurezza AI Informatica Software produttività
Noti cybercriminali russi hanno sfruttato una vulnerabilità di Microsoft Office per avviare una campagna di spionaggio contro varie organizzazioni.
Wikipedia

A fine gennaio, Microsoft ha rilasciato un aggiornamento urgente per Office che risolve una grave vulnerabilità. Un noto gruppo di cybercriminali russi ha prontamente sfruttato l’occasione per effettuare il reverse engineering della patch e distribuire due backdoor. Tra i bersagli ci sono numerose aziende e organizzazioni, tra cui quelle che operano in Ucraina.

Descrizione dell’exploit per Office

Il gruppo è noto come APT28, Fancy Bear, Sednit, Forest Blizzard o Sofacy. Sono associati all’agenzia di intelligence militare russa (probabilmente anche dipendenti). I cybercriminali russi hanno sfruttato la vulnerabilità di Office per lanciare una sofisticata campagna di spionaggio contro organizzazioni governative, militari, marittime, logistiche e diplomatiche di otto paesi: Polonia, Slovenia, Turchia, Grecia, Emirati Arabi Uniti, Ucraina, Romania e Bolivia.

L’attacco inizia con l’invio di un’email di spear phishing proveniente da account governativi compromessi. I messaggi riguardano vari argomenti “esca”, tra cui un presunto furto di armi. In allegato c’è un documento Word (DOC o RTF). Quando aperto vengono aggirate le protezioni di Office (a causa della vulnerabilità) e scaricati due file (LNK e DLL).

La DLL è il primo malware, ovvero SimpleLoader, che scarica la backdoor NotDoor oppure decifra il codice (nascosto in un’immagine PNG) della backdoor BeardShell, successivamente caricata in memoria (quindi non lascia tracce su disco).

NotDoor accede alle email di Outlook, mentre BeardShell permette di mantenere la persistenza sui sistemi Windows (accesso remoto) e raccogliere informazioni sensibili dai computer (anche quelli connessi alla rete interna). Come canale C2 (command-and-control) viene utilizzato un servizio legittimo di cloud storage (file.io), quindi sembra normale traffico (più difficile da rilevare e bloccare).

Anche se i cybercriminali prendono di mira specifici bersagli è sempre consigliata l’installazione delle patch di sicurezza. Come detto, Microsoft ha rilasciato l’aggiornamento il 26 gennaio per Office 2016/2019/2021/2024.

Fonte: Ars Technica

Pubblicato il 5 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

Meta può leggere le chat di WhatsApp: vero o falso?

Meta può leggere le chat di WhatsApp: vero o falso?
Le ultime sull'attacco alla Sapienza: tutto ancora down

Le ultime sull'attacco alla Sapienza: tutto ancora down
Università La Sapienza: attacco ransomware con BadLock

Università La Sapienza: attacco ransomware con BadLock
NordVPN inizia il mese di febbraio 2026 con un'offerta imperdibile

NordVPN inizia il mese di febbraio 2026 con un'offerta imperdibile
Meta può leggere le chat di WhatsApp: vero o falso?

Meta può leggere le chat di WhatsApp: vero o falso?
Le ultime sull'attacco alla Sapienza: tutto ancora down

Le ultime sull'attacco alla Sapienza: tutto ancora down
Università La Sapienza: attacco ransomware con BadLock

Università La Sapienza: attacco ransomware con BadLock
NordVPN inizia il mese di febbraio 2026 con un'offerta imperdibile

NordVPN inizia il mese di febbraio 2026 con un'offerta imperdibile
Luca Colantuoni
Pubblicato il
5 feb 2026
Link copiato negli appunti