Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
APT28 (tracciato come UAC-0001) sta sfruttando la nuova vulnerabilità divulgata in Microsoft Office CVE-2026-21509 per distribuire payload dannosi contro obiettivi del governo ucraino e organizzazioni in tutta l’UE. L’intrusione inizia con un documento DOC armato che forza una richiesta WebDAV per scaricare componenti aggiuntivi, quindi configura un hijacking COM per eseguire un loader basato su DLL che avvia il framework Covenant. L’attività sfrutta anche Filen archiviazione cloud legittima come parte della sua infrastruttura di rete. La campagna è stata osservata alla fine di gennaio 2026.
Indagine
L’analisi dei file DOC dannosi ha mostrato che aprendo questi in Office si avvia una connessione WebDAV che scarica una DLL chiamata EhStoreShell.dll insieme a un’immagine shellcode PNG. La DLL è resa persistente attraverso un dirottamento della registrazione COM CLSID, e un’attività pianificata chiamata OneDriveHealth viene utilizzata per avviare explorer.exe, che carica l’oggetto COM dirottato. Il loader quindi avvia Covenant, con il controllo dell’operatore instradato attraverso endpoint supportati da Filen.
Mitigazione
Applica senza ritardo l’aggiornamento Office di Microsoft che affronta CVE-2026-21509. Disabilita o restringi strettamente l’uso di WebDAV all’interno di Office dove possibile. Rimuovi la registrazione del registro CLSID dannoso ed elimina l’attività pianificata OneDriveHealth. Blocca l’accesso in uscita ai domini Filen e agli IP correlati, e monitora gli endpoint per la creazione dei file DLL e PNG indicati.
Risposta
Allerta sulla creazione di EhStoreShell.dll, SplashScreen.png e cambiamenti sotto il percorso del registro CLSID dirottato. Rileva e indaga sulla creazione di attività pianificate che corrispondono a OneDriveHealth. Correlare l’attività dei processi di Office con le connessioni in uscita verso domini Filen, quaraninare documenti correlati ed eseguire un’analisi forense completa sugli host colpiti.
graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Nodes action_phishing[“<b>Azione</b> – <b>T1566.001 Allegato di spearphishing</b><br/>APT28 ha inviato file DOC malevoli (es. BULLETEN_H.doc) mascherati da comunicazioni del governo ucraino.”] class action_phishing action file_doc[“<b>File</b> – DOC malevolo<br/>BULLETEN_H.doc contenente exploit per CVE-2026-21509”] class file_doc file action_exploit_client[“<b>Azione</b> – <b>T1203 Sfruttamento per esecuzione sul client</b><br/>L’apertura del DOC ha sfruttato CVE-2026-21509 in Microsoft Office per ottenere esecuzione di codice.”] class action_exploit_client action action_download_payload[“<b>Azione</b> – <b>T1210 Sfruttamento di servizi remoti</b><br/>Una richiesta WebDAV ha scaricato payload aggiuntivi da un server controllato dall’attaccante.”] class action_download_payload action file_dll[“<b>File</b> – DLL malevola<br/>EhStoreShell.dll”] class file_dll file file_png[“<b>File</b> – Immagine con shellcode incorporato<br/>SplashScreen.png”] class file_png file file_xml[“<b>File</b> – Definizione attività XML<br/>office.xml”] class file_xml file action_com_hijack[“<b>Azione</b> – <b>T1546.015 COM Hijacking</b><br/>Il CLSID di registro {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} è stato reindirizzato a EhStoreShell.dll, causando il caricamento del payload.”] class action_com_hijack action action_scheduled_task[“<b>Azione</b> – <b>T1546.009 DLL AppCert tramite attività pianificata</b><br/>È stata creata l’attività pianificata \”OneDriveHealth\” (XML) per eseguire la DLL malevola e riavviare explorer.exe come persistenza.”] class action_scheduled_task action action_process_injection[“<b>Azione</b> – <b>T1055.001 Iniezione di processo (DLL)</b><br/>EhStoreShell.dll ha iniettato shellcode da SplashScreen.png in explorer.exe.”] class action_process_injection action process_explorer[“<b>Processo</b> – explorer.exe”] class process_explorer process action_verclsid_proxy[“<b>Azione</b> – <b>T1218.012 Esecuzione proxy tramite binario di sistema</b><br/>Il CLSID modificato ha causato il caricamento della DLL malevola da parte di Windows tramite il binario Verclsid.”] class action_verclsid_proxy action action_c2_webservice[“<b>Azione</b> – <b>T1102.001 / T1102.002 C2 tramite servizio web</b><br/>Il traffico C2 di COVENANT è stato ospitato su domini cloud Filen legittimi (*.filen.io) per dead drop e comunicazione bidirezionale.”] class action_c2_webservice action %% Connections action_phishing –>|consegna| file_doc file_doc –>|attiva| action_exploit_client action_exploit_client –>|porta a| action_download_payload action_download_payload –>|scarica| file_dll action_download_payload –>|scarica| file_png action_download_payload –>|scarica| file_xml action_download_payload –>|abilita| action_com_hijack action_com_hijack –>|carica| file_dll action_com_hijack –>|crea| action_scheduled_task action_scheduled_task –>|esegue| file_dll action_scheduled_task –>|riavvia| process_explorer action_process_injection –>|inietta in| process_explorer file_dll –>|usato da| action_process_injection file_png –>|contiene shellcode per| action_process_injection action_verclsid_proxy –>|invoca| file_dll action_c2_webservice –>|comunica tramite| file_xml
Flusso di Attacco
Rilevamenti
Esecuzione di Taskkill Sospetto (via cmdline)
Visualizza
Schtasks Punta a Directory / Binario / Script Sospetti (via cmdline)
Visualizza
Possibile Dirottamento COM di Explorer (via registry_event)
Visualizza
Possibile Abuso del Protocol Handler URI Search / Search-MS (via cmdline)
Visualizza
Comportamento di Creazione, Esecuzione, Eliminazione di Task Pianificato Potenzialmente Sospetto (via process_creation)
Visualizza
Possibile Infiltrazione / Esfiltrazione / C2 di Dati tramite Servizi / Strumenti di Terze Parti (via proxy)
Visualizza
Possibile Infiltrazione / Esfiltrazione / C2 di Dati tramite Servizi / Strumenti di Terze Parti (via dns)
Visualizza
LOLBAS Regsvr32 (via cmdline)
Visualizza
IOC (DestinationIP) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (HashSha256) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (HashSha1) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (HashMd5) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (Email) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (SourceIP) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
Rilevamento di Dirottamento COM tramite Modifica del Registro [Evento Registro di Windows]
Visualizza
Connessioni di Rete Dannose Correlate ad Attacchi Informatici di APT28 [Connessione di Rete di Windows]
Visualizza
Creazioni di File Sospette Mascherate come Estensione di Shell di Archiviazione Avanzata [Evento File di Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo di Pre-volo di Telemetria e Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco e Comandi:
Un avversario ha ottenuto una posizione sulla macchina della vittima e vuole raggiungere persistenza ed esecuzione di codice stealth. Selezionano un CLSID raramente usato{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}che è improbabile sia referenziato da software legittimo. Usando PowerShell (T1218.010), scrivono il percorso della DLL dannosa nelInProcServer32sotto-chiave, eventualmente impostando un valoreThreadingModela"Both"per soddisfare i requisiti di caricamento COM. Dopo la registrazione, qualsiasi applicazione legittima che tenta di istanziare questo oggetto COM caricherà la DLL controllata dall’attaccante, che può successivamente invocarerundll32.exe(T1218.009) per eseguire un payload che contatta l’infrastruttura C2 dell’attaccante (T1584.001). -
Script di Test di Regressione:
# ------------------------------- # Simulazione di Dirottamento COM (T1546.015) # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsidInProcServer32" # Assicurati che la chiave esista New-Item -Path $regPath -Force | Out-Null # Imposta il valore predefinito su un percorso DLL dannoso (si assume che la DLL sia già su disco) $maliciousDll = "C:Tempevil.dll" Set-ItemProperty -Path $regPath -Name '(Default)' -Value $maliciousDll # FACOLTATIVO: imposta ThreadingModel su Both (alcuni oggetti COM richiedono questo) Set-ItemProperty -Path $regPath -Name 'ThreadingModel' -Value 'Both' Write-Host "[+] Dirottamento del registro creato per CLSID $clsid puntando a $maliciousDll" -
Comandi di Pulizia:
# ------------------------------- # Pulizia Simulazione di Dirottamento COM # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsid" # Rimuovi l'intero albero delle chiavi CLSID if (Test-Path $regPath) { Remove-Item -Path $regPath -Recurse -Force Write-Host "[+] Rimosso CLSID dirottato $clsid dal registro." } else { Write-Host "[*] CLSID $clsid non presente; nulla da pulire."