UAC-0001 (APT28) Angriffe unter Ausnutzung von CVE-2026-21509
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
APT28 (verfolgt als UAC-0001) nutzt die neu offengelegte Microsoft Office-Sicherheitslücke CVE-2026-21509 aus, um schädliche Payloads gegen ukrainische Regierungsziele und Organisationen in der EU zu übermitteln. Der Einbruch beginnt mit einem präparierten DOC, das eine WebDAV-Anfrage erzwingt, um zusätzliche Komponenten zu laden und dann eine COM-Hijacking-Technik einrichtet, um einen DLL-basierten Loader auszuführen, der das Covenant-Framework startet. Die Aktivität verwendet zudem legitime Filen Cloud-Speicher als Teil seiner Netzwerkinfrastruktur. Die Kampagne wurde Ende Januar 2026 beobachtet.
Untersuchung
Die Analyse der bösartigen DOC-Dateien zeigte, dass das Öffnen in Office eine WebDAV-Verbindung initiiert, die eine DLL namens EhStoreShell.dll zusammen mit einem PNG-Shellcode-Bild herunterlädt. Die DLL wird durch eine CLSID COM-Registrierungsentführung persistent gemacht, und eine geplante Aufgabe namens OneDriveHealth wird verwendet, um explorer.exe zu starten, das das entführte COM-Objekt lädt. Der Loader startet dann Covenant, wobei die Kontrolle der Betreiber über Filen-gestützte Endpunkte erfolgt.
Minderung
Installieren Sie ohne Verzögerung das von Microsoft bereitgestellte Office-Update zur Behebung von CVE-2026-21509. Deaktivieren oder beschränken Sie die WebDAV-Nutzung innerhalb von Office, wo möglich. Entfernen Sie die bösartige CLSID-Registrierung im Registrierungseditor und löschen Sie die geplante Aufgabe OneDriveHealth. Blockieren Sie ausgehende Zugriffe auf Filen-Domains und zugehörige IP-Adressen und überwachen Sie Endpunkte auf die Erstellung der genannten DLL- und PNG-Artefakte.
Reaktion
Alarmieren Sie bei der Erstellung von EhStoreShell.dll, SplashScreen.png und Änderungen am entführten CLSID-Registrierungspfad. Erkennen und untersuchen Sie geplante Aufgaben, die mit OneDriveHealth übereinstimmen. Korrelation von Office-Prozessaktivitäten mit ausgehenden Verbindungen zu Filen-Domains, Quarantäne verwandter Dokumente und Durchführung vollständiger Host-Forensik auf betroffenen Systemen.
Angriffsfluss
Erkennungen
Verdächtige Taskkill-Ausführung (über cmdline)
Ansicht
Schtasks verweist auf verdächtiges Verzeichnis / Binärdatei / Skript (über cmdline)
Ansicht
Mögliche Explorer-COM-Entführung (über registry_event)
Ansicht
Möglicher Missbrauch des URI-Protokoll-Handlers für Suche / Suche-MS (über cmdline)
Ansicht
Potentiell verdächtiges Erstellen, Ausführen, Löschen von geplanten Aufgaben (über Prozess-Erstellung)
Ansicht
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Werkzeuge (über Proxy)
Ansicht
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Werkzeuge (über DNS)
Ansicht
LOLBAS Regsvr32 (über cmdline)
Ansicht
IOCs (DestinationIP) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (HashSha256) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (HashSha1) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (HashMd5) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (E-Mails) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
IOCs (SourceIP) zum Erkennen: CERT-UA Bulletin: UAC-0001 (APT28) Angriffe unter Verwendung von CVE-2026-21509
Ansicht
Erkennung von COM-Hijacking durch Registry-Modifikation [Windows-Registry-Ereignis]
Ansicht
Bösartige Netzwerkverbindungen im Zusammenhang mit APT28-Cyberangriffen [Windows-Netzwerkverbindung]
Ansicht
Verdächtige Dateierstellungen als Erweiterung des erweiterten Speicher-Shells maskiert [Windows-Datei-Ereignis]
Ansicht
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorprüfung muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnermethode (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und die Darstellung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die die Erkennungslogik erwartet. Abstrakte oder nicht zusammenhängende Beispiele führen zu einer Fehldiagnose.
-
Angriffserzählung & Befehle:
Ein Angreifer hat sich einen Standbein auf der Opfermaschine verschafft und möchte Persistenz und unauffällige Codeausführung erreichen. Sie wählen eine selten verwendete CLSID{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}die wahrscheinlich nicht von legitimer Software referenziert wird. Mit PowerShell (T1218.010) schreiben sie den Pfad der bösartigen DLL in denInProcServer32Unterschlüssel und setzen optional einThreadingModelWert auf"Beides"um die Anforderungen zum Laden von COM zu erfüllen. Nach der Registrierung lädt jede legitime Anwendung, die versucht, dieses COM-Objekt zu instanziieren, die DLL, die vom Angreifer kontrolliert wird, welche möglicherweise anschließendrundll32.exe(T1218.009) aufruft, um eine Nutzlast auszuführen, die die C2-Infrastruktur des Angreifers kontaktiert (T1584.001). -
Regressionstestskript:
# ------------------------------- # COM Hijack Simulation (T1546.015) # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsidInProcServer32" # Sicherstellen, dass der Schlüssel existiert New-Item -Path $regPath -Force | Out-Null # Setzen Sie den Standardwert auf einen bösartigen DLL-Pfad (nehmen Sie an, die DLL ist bereits auf der Festplatte vorhanden) $maliciousDll = "C:Tempevil.dll" Set-ItemProperty -Path $regPath -Name '(Default)' -Value $maliciousDll # OPTIONAL: Setzen Sie ThreadingModel auf Beide (einige COM-Objekte erfordern dies) Set-ItemProperty -Path $regPath -Name 'ThreadingModel' -Value 'Beides' Write-Host "[+] Registry Hijack für CLSID $clsid erstellt, der auf $maliciousDll zeigt" -
Aufräumbefehle:
# ------------------------------- # Cleanup COM Hijack Simulation # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsid" # Entfernen Sie den gesamten CLSID-Schlüsselbaum if (Test-Path $regPath) { Remove-Item -Path $regPath -Recurse -Force Write-Host "[+] Hijacked CLSID $clsid aus der Registry entfernt." } else { Write-Host "[*] CLSID $clsid nicht vorhanden; nichts zu reinigen." }