Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
APT28 (verfolgt als UAC-0001) nutzt die neu offengelegte Microsoft Office-Sicherheitslücke CVE-2026-21509 aus, um schädliche Payloads gegen ukrainische Regierungsziele und Organisationen in der EU zu übermitteln. Der Einbruch beginnt mit einem präparierten DOC, das eine WebDAV-Anfrage erzwingt, um zusätzliche Komponenten zu laden und dann eine COM-Hijacking-Technik einrichtet, um einen DLL-basierten Loader auszuführen, der das Covenant-Framework startet. Die Aktivität verwendet zudem legitime Filen Cloud-Speicher als Teil seiner Netzwerkinfrastruktur. Die Kampagne wurde Ende Januar 2026 beobachtet.
Untersuchung
Die Analyse der bösartigen DOC-Dateien zeigte, dass das Öffnen in Office eine WebDAV-Verbindung initiiert, die eine DLL namens EhStoreShell.dll zusammen mit einem PNG-Shellcode-Bild herunterlädt. Die DLL wird durch eine CLSID COM-Registrierungsentführung persistent gemacht, und eine geplante Aufgabe namens OneDriveHealth wird verwendet, um explorer.exe zu starten, das das entführte COM-Objekt lädt. Der Loader startet dann Covenant, wobei die Kontrolle der Betreiber über Filen-gestützte Endpunkte erfolgt.
Minderung
Installieren Sie ohne Verzögerung das von Microsoft bereitgestellte Office-Update zur Behebung von CVE-2026-21509. Deaktivieren oder beschränken Sie die WebDAV-Nutzung innerhalb von Office, wo möglich. Entfernen Sie die bösartige CLSID-Registrierung im Registrierungseditor und löschen Sie die geplante Aufgabe OneDriveHealth. Blockieren Sie ausgehende Zugriffe auf Filen-Domains und zugehörige IP-Adressen und überwachen Sie Endpunkte auf die Erstellung der genannten DLL- und PNG-Artefakte.
Reaktion
Alarmieren Sie bei der Erstellung von EhStoreShell.dll, SplashScreen.png und Änderungen am entführten CLSID-Registrierungspfad. Erkennen und untersuchen Sie geplante Aufgaben, die mit OneDriveHealth übereinstimmen. Korrelation von Office-Prozessaktivitäten mit ausgehenden Verbindungen zu Filen-Domains, Quarantäne verwandter Dokumente und Durchführung vollständiger Host-Forensik auf betroffenen Systemen.
graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Nodes action_phishing[„<b>Aktion</b> – <b>T1566.001 Spearphishing-Anhang</b><br/>APT28 versendete schädliche DOC-Dateien (z. B. BULLETEN_H.doc), getarnt als ukrainische Regierungsmitteilungen.“] class action_phishing action file_doc[„<b>Datei</b> – Schadhaftes DOC<br/>BULLETEN_H.doc mit Exploit für CVE-2026-21509“] class file_doc file action_exploit_client[„<b>Aktion</b> – <b>T1203 Ausnutzung zur Client-Ausführung</b><br/>Beim Öffnen des DOC wurde CVE-2026-21509 in Microsoft Office ausgenutzt, um Codeausführung zu erreichen.“] class action_exploit_client action action_download_payload[„<b>Aktion</b> – <b>T1210 Ausnutzung entfernter Dienste</b><br/>Eine WebDAV-Anfrage lud zusätzliche Payloads von einem vom Angreifer kontrollierten Server herunter.“] class action_download_payload action file_dll[„<b>Datei</b> – Schadhafte DLL<br/>EhStoreShell.dll“] class file_dll file file_png[„<b>Datei</b> – Bild mit eingebettetem Shellcode<br/>SplashScreen.png“] class file_png file file_xml[„<b>Datei</b> – XML-Aufgabendefinition<br/>office.xml“] class file_xml file action_com_hijack[„<b>Aktion</b> – <b>T1546.015 COM-Hijacking</b><br/>Der Registry-CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} wurde auf EhStoreShell.dll umgeleitet, wodurch das Payload geladen wurde.“] class action_com_hijack action action_scheduled_task[„<b>Aktion</b> – <b>T1546.009 AppCert-DLLs über geplante Aufgabe</b><br/>Die geplante Aufgabe \“OneDriveHealth\“ (XML) wurde erstellt, um die schädliche DLL auszuführen und explorer.exe zur Persistenz neu zu starten.“] class action_scheduled_task action action_process_injection[„<b>Aktion</b> – <b>T1055.001 Prozessinjektion (DLL)</b><br/>EhStoreShell.dll injizierte Shellcode aus SplashScreen.png in explorer.exe.“] class action_process_injection action process_explorer[„<b>Prozess</b> – explorer.exe“] class process_explorer process action_verclsid_proxy[„<b>Aktion</b> – <b>T1218.012 Proxy-Ausführung über System-Binary</b><br/>Der modifizierte CLSID veranlasste Windows, die schädliche DLL über das Verclsid-Binary zu laden.“] class action_verclsid_proxy action action_c2_webservice[„<b>Aktion</b> – <b>T1102.001 / T1102.002 Webdienst-C2</b><br/>Der COVENANT-C2-Verkehr wurde auf legitimen Filen-Cloud-Domains (*.filen.io) für Dead-Drop- und bidirektionale Kommunikation gehostet.“] class action_c2_webservice action %% Connections action_phishing –>|liefert| file_doc file_doc –>|löst aus| action_exploit_client action_exploit_client –>|führt zu| action_download_payload action_download_payload –>|lädt herunter| file_dll action_download_payload –>|lädt herunter| file_png action_download_payload –>|lädt herunter| file_xml action_download_payload –>|ermöglicht| action_com_hijack action_com_hijack –>|lädt| file_dll action_com_hijack –>|erstellt| action_scheduled_task action_scheduled_task –>|führt aus| file_dll action_scheduled_task –>|startet neu| process_explorer action_process_injection –>|injiziert in| process_explorer file_dll –>|verwendet von| action_process_injection file_png –>|enthält Shellcode für| action_process_injection action_verclsid_proxy –>|ruft auf| file_dll action_c2_webservice –>|kommuniziert über| file_xml
Angriffsfluss
Erkennungen
Verdächtige Taskkill-Ausführung (über cmdline)
Ansicht
Schtasks verweist auf verdächtiges Verzeichnis / Binärdatei / Skript (über cmdline)
Ansicht
Mögliche Explorer-COM-Entführung (über registry_event)
Ansicht
Möglicher Missbrauch des URI-Protokoll-Handlers für Suche / Suche-MS (über cmdline)
Ansicht
Potentiell verdächtiges Erstellen, Ausführen, Löschen von geplanten Aufgaben (über Prozess-Erstellung)
Ansicht
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Werkzeuge (über Proxy)
Ansicht
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Werkzeuge (über DNS)
Ansicht
LOLBAS Regsvr32 (über cmdline)
Ansicht
IOCs (DestinationIP) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (HashSha256) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (HashSha1) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (HashMd5) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (E-Mails) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (SourceIP) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
Erkennung von COM-Hijacking durch Registry-Modifikation [Windows-Registry-Ereignis]
Ansicht
Bösartige Netzwerkverbindungen im Zusammenhang mit APT28-Cyberangriffen [Windows-Netzwerkverbindung]
Ansicht
Verdächtige Dateierstellungen als Erweiterung des erweiterten Speicher-Shells maskiert [Windows-Datei-Ereignis]
Ansicht
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorprüfung muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnermethode (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und die Darstellung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die die Erkennungslogik erwartet. Abstrakte oder nicht zusammenhängende Beispiele führen zu einer Fehldiagnose.
-
Angriffserzählung & Befehle:
Ein Angreifer hat sich einen Standbein auf der Opfermaschine verschafft und möchte Persistenz und unauffällige Codeausführung erreichen. Sie wählen eine selten verwendete CLSID{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}die wahrscheinlich nicht von legitimer Software referenziert wird. Mit PowerShell (T1218.010) schreiben sie den Pfad der bösartigen DLL in denInProcServer32Unterschlüssel und setzen optional einThreadingModelWert auf"Beides"um die Anforderungen zum Laden von COM zu erfüllen. Nach der Registrierung lädt jede legitime Anwendung, die versucht, dieses COM-Objekt zu instanziieren, die DLL, die vom Angreifer kontrolliert wird, welche möglicherweise anschließendrundll32.exe(T1218.009) aufruft, um eine Nutzlast auszuführen, die die C2-Infrastruktur des Angreifers kontaktiert (T1584.001). -
Regressionstestskript:
# ------------------------------- # COM Hijack Simulation (T1546.015) # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsidInProcServer32" # Sicherstellen, dass der Schlüssel existiert New-Item -Path $regPath -Force | Out-Null # Setzen Sie den Standardwert auf einen bösartigen DLL-Pfad (nehmen Sie an, die DLL ist bereits auf der Festplatte vorhanden) $maliciousDll = "C:Tempevil.dll" Set-ItemProperty -Path $regPath -Name '(Default)' -Value $maliciousDll # OPTIONAL: Setzen Sie ThreadingModel auf Beide (einige COM-Objekte erfordern dies) Set-ItemProperty -Path $regPath -Name 'ThreadingModel' -Value 'Beides' Write-Host "[+] Registry Hijack für CLSID $clsid erstellt, der auf $maliciousDll zeigt" -
Aufräumbefehle:
# ------------------------------- # Cleanup COM Hijack Simulation # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsid" # Entfernen Sie den gesamten CLSID-Schlüsselbaum if (Test-Path $regPath) { Remove-Item -Path $regPath -Recurse -Force Write-Host "[+] Hijacked CLSID $clsid aus der Registry entfernt." } else { Write-Host "[*] CLSID $clsid nicht vorhanden; nichts zu reinigen." }