SOC Prime Bias: Kritisch

02 Feb 2026 11:44 UTC

UAC-0001 (APT28) Angriffe unter Ausnutzung von CVE-2026-21509

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
UAC-0001 (APT28) Angriffe unter Ausnutzung von CVE-2026-21509
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

APT28 (verfolgt als UAC-0001) nutzt die neu offengelegte Microsoft Office-Sicherheitslücke CVE-2026-21509 aus, um schädliche Payloads gegen ukrainische Regierungsziele und Organisationen in der EU zu übermitteln. Der Einbruch beginnt mit einem präparierten DOC, das eine WebDAV-Anfrage erzwingt, um zusätzliche Komponenten zu laden und dann eine COM-Hijacking-Technik einrichtet, um einen DLL-basierten Loader auszuführen, der das Covenant-Framework startet. Die Aktivität verwendet zudem legitime Filen Cloud-Speicher als Teil seiner Netzwerkinfrastruktur. Die Kampagne wurde Ende Januar 2026 beobachtet.

Untersuchung

Die Analyse der bösartigen DOC-Dateien zeigte, dass das Öffnen in Office eine WebDAV-Verbindung initiiert, die eine DLL namens EhStoreShell.dll zusammen mit einem PNG-Shellcode-Bild herunterlädt. Die DLL wird durch eine CLSID COM-Registrierungsentführung persistent gemacht, und eine geplante Aufgabe namens OneDriveHealth wird verwendet, um explorer.exe zu starten, das das entführte COM-Objekt lädt. Der Loader startet dann Covenant, wobei die Kontrolle der Betreiber über Filen-gestützte Endpunkte erfolgt.

Minderung

Installieren Sie ohne Verzögerung das von Microsoft bereitgestellte Office-Update zur Behebung von CVE-2026-21509. Deaktivieren oder beschränken Sie die WebDAV-Nutzung innerhalb von Office, wo möglich. Entfernen Sie die bösartige CLSID-Registrierung im Registrierungseditor und löschen Sie die geplante Aufgabe OneDriveHealth. Blockieren Sie ausgehende Zugriffe auf Filen-Domains und zugehörige IP-Adressen und überwachen Sie Endpunkte auf die Erstellung der genannten DLL- und PNG-Artefakte.

Reaktion

Alarmieren Sie bei der Erstellung von EhStoreShell.dll, SplashScreen.png und Änderungen am entführten CLSID-Registrierungspfad. Erkennen und untersuchen Sie geplante Aufgaben, die mit OneDriveHealth übereinstimmen. Korrelation von Office-Prozessaktivitäten mit ausgehenden Verbindungen zu Filen-Domains, Quarantäne verwandter Dokumente und Durchführung vollständiger Host-Forensik auf betroffenen Systemen.

Angriffsfluss

Erkennungen

Verdächtige Taskkill-Ausführung (über cmdline)

SOC Prime Team
02. Februar 2026

Schtasks verweist auf verdächtiges Verzeichnis / Binärdatei / Skript (über cmdline)

SOC Prime Team
02. Februar 2026

Mögliche Explorer-COM-Entführung (über registry_event)

SOC Prime Team
02. Februar 2026

Möglicher Missbrauch des URI-Protokoll-Handlers für Suche / Suche-MS (über cmdline)

SOC Prime Team
02. Februar 2026

Potentiell verdächtiges Erstellen, Ausführen, Löschen von geplanten Aufgaben (über Prozess-Erstellung)

SOC Prime Team
02. Februar 2026

Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Werkzeuge (über Proxy)

SOC Prime Team
02. Februar 2026

Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Werkzeuge (über DNS)

SOC Prime Team
02. Februar 2026

LOLBAS Regsvr32 (über cmdline)

SOC Prime Team
02. Februar 2026

IOCs (DestinationIP) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509

SOC Prime AI-Regeln
02. Februar 2026

IOCs (HashSha256) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509

SOC Prime AI-Regeln
02. Februar 2026

IOCs (HashSha1) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509

SOC Prime AI-Regeln
02. Februar 2026

IOCs (HashMd5) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509

SOC Prime AI-Regeln
02. Februar 2026

IOCs (E-Mails) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509

SOC Prime AI-Regeln
02. Februar 2026

IOCs (SourceIP) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509

SOC Prime AI-Regeln
02. Februar 2026

Erkennung von COM-Hijacking durch Registry-Modifikation [Windows-Registry-Ereignis]

SOC Prime AI-Regeln
02. Februar 2026

Bösartige Netzwerkverbindungen im Zusammenhang mit APT28-Cyberangriffen [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
02. Februar 2026

Verdächtige Dateierstellungen als Erweiterung des erweiterten Speicher-Shells maskiert [Windows-Datei-Ereignis]

SOC Prime AI-Regeln
02. Februar 2026

Simulation Ausführung

Voraussetzung: Die Telemetrie- & Baseline-Vorprüfung muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnermethode (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und die Darstellung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die die Erkennungslogik erwartet. Abstrakte oder nicht zusammenhängende Beispiele führen zu einer Fehldiagnose.

  • Angriffserzählung & Befehle:
    Ein Angreifer hat sich einen Standbein auf der Opfermaschine verschafft und möchte Persistenz und unauffällige Codeausführung erreichen. Sie wählen eine selten verwendete CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} die wahrscheinlich nicht von legitimer Software referenziert wird. Mit PowerShell (T1218.010) schreiben sie den Pfad der bösartigen DLL in den InProcServer32 Unterschlüssel und setzen optional ein ThreadingModel Wert auf "Beides" um die Anforderungen zum Laden von COM zu erfüllen. Nach der Registrierung lädt jede legitime Anwendung, die versucht, dieses COM-Objekt zu instanziieren, die DLL, die vom Angreifer kontrolliert wird, welche möglicherweise anschließend rundll32.exe (T1218.009) aufruft, um eine Nutzlast auszuführen, die die C2-Infrastruktur des Angreifers kontaktiert (T1584.001).

  • Regressionstestskript:

    # -------------------------------
    # COM Hijack Simulation (T1546.015)
    # -------------------------------
    $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}'
    $regPath = "HKLM:SoftwareClassesCLSID$clsidInProcServer32"
    
    # Sicherstellen, dass der Schlüssel existiert
    New-Item -Path $regPath -Force | Out-Null
    
    # Setzen Sie den Standardwert auf einen bösartigen DLL-Pfad (nehmen Sie an, die DLL ist bereits auf der Festplatte vorhanden)
    $maliciousDll = "C:Tempevil.dll"
    Set-ItemProperty -Path $regPath -Name '(Default)' -Value $maliciousDll
    
    # OPTIONAL: Setzen Sie ThreadingModel auf Beide (einige COM-Objekte erfordern dies)
    Set-ItemProperty -Path $regPath -Name 'ThreadingModel' -Value 'Beides'
    
    Write-Host "[+] Registry Hijack für CLSID $clsid erstellt, der auf $maliciousDll zeigt"
  • Aufräumbefehle:

    # -------------------------------
    # Cleanup COM Hijack Simulation
    # -------------------------------
    $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}'
    $regPath = "HKLM:SoftwareClassesCLSID$clsid"
    
    # Entfernen Sie den gesamten CLSID-Schlüsselbaum
    if (Test-Path $regPath) {
        Remove-Item -Path $regPath -Recurse -Force
        Write-Host "[+] Hijacked CLSID $clsid aus der Registry entfernt."
    } else {
        Write-Host "[*] CLSID $clsid nicht vorhanden; nichts zu reinigen."
    }