UAC-0001 (APT28) Attacchi utilizzando CVE-2026-21509
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
APT28 (tracciato come UAC-0001) sta sfruttando la nuova vulnerabilità divulgata in Microsoft Office CVE-2026-21509 per distribuire payload dannosi contro obiettivi del governo ucraino e organizzazioni in tutta l’UE. L’intrusione inizia con un documento DOC armato che forza una richiesta WebDAV per scaricare componenti aggiuntivi, quindi configura un hijacking COM per eseguire un loader basato su DLL che avvia il framework Covenant. L’attività sfrutta anche Filen archiviazione cloud legittima come parte della sua infrastruttura di rete. La campagna è stata osservata alla fine di gennaio 2026.
Indagine
L’analisi dei file DOC dannosi ha mostrato che aprendo questi in Office si avvia una connessione WebDAV che scarica una DLL chiamata EhStoreShell.dll insieme a un’immagine shellcode PNG. La DLL è resa persistente attraverso un dirottamento della registrazione COM CLSID, e un’attività pianificata chiamata OneDriveHealth viene utilizzata per avviare explorer.exe, che carica l’oggetto COM dirottato. Il loader quindi avvia Covenant, con il controllo dell’operatore instradato attraverso endpoint supportati da Filen.
Mitigazione
Applica senza ritardo l’aggiornamento Office di Microsoft che affronta CVE-2026-21509. Disabilita o restringi strettamente l’uso di WebDAV all’interno di Office dove possibile. Rimuovi la registrazione del registro CLSID dannoso ed elimina l’attività pianificata OneDriveHealth. Blocca l’accesso in uscita ai domini Filen e agli IP correlati, e monitora gli endpoint per la creazione dei file DLL e PNG indicati.
Risposta
Allerta sulla creazione di EhStoreShell.dll, SplashScreen.png e cambiamenti sotto il percorso del registro CLSID dirottato. Rileva e indaga sulla creazione di attività pianificate che corrispondono a OneDriveHealth. Correlare l’attività dei processi di Office con le connessioni in uscita verso domini Filen, quaraninare documenti correlati ed eseguire un’analisi forense completa sugli host colpiti.
Flusso di Attacco
Rilevamenti
Esecuzione di Taskkill Sospetto (via cmdline)
Visualizza
Schtasks Punta a Directory / Binario / Script Sospetti (via cmdline)
Visualizza
Possibile Dirottamento COM di Explorer (via registry_event)
Visualizza
Possibile Abuso del Protocol Handler URI Search / Search-MS (via cmdline)
Visualizza
Comportamento di Creazione, Esecuzione, Eliminazione di Task Pianificato Potenzialmente Sospetto (via process_creation)
Visualizza
Possibile Infiltrazione / Esfiltrazione / C2 di Dati tramite Servizi / Strumenti di Terze Parti (via proxy)
Visualizza
Possibile Infiltrazione / Esfiltrazione / C2 di Dati tramite Servizi / Strumenti di Terze Parti (via dns)
Visualizza
LOLBAS Regsvr32 (via cmdline)
Visualizza
IOC (DestinationIP) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (HashSha256) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (HashSha1) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (HashMd5) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (Email) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
IOC (SourceIP) da rilevare: CERT-UA Bulletin: Attacchi UAC-0001 (APT28) usando CVE-2026-21509
Visualizza
Rilevamento di Dirottamento COM tramite Modifica del Registro [Evento Registro di Windows]
Visualizza
Connessioni di Rete Dannose Correlate ad Attacchi Informatici di APT28 [Connessione di Rete di Windows]
Visualizza
Creazioni di File Sospette Mascherate come Estensione di Shell di Archiviazione Avanzata [Evento File di Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo di Pre-volo di Telemetria e Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco e Comandi:
Un avversario ha ottenuto una posizione sulla macchina della vittima e vuole raggiungere persistenza ed esecuzione di codice stealth. Selezionano un CLSID raramente usato{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}che è improbabile sia referenziato da software legittimo. Usando PowerShell (T1218.010), scrivono il percorso della DLL dannosa nelInProcServer32sotto-chiave, eventualmente impostando un valoreThreadingModela"Both"per soddisfare i requisiti di caricamento COM. Dopo la registrazione, qualsiasi applicazione legittima che tenta di istanziare questo oggetto COM caricherà la DLL controllata dall’attaccante, che può successivamente invocarerundll32.exe(T1218.009) per eseguire un payload che contatta l’infrastruttura C2 dell’attaccante (T1584.001). -
Script di Test di Regressione:
# ------------------------------- # Simulazione di Dirottamento COM (T1546.015) # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsidInProcServer32" # Assicurati che la chiave esista New-Item -Path $regPath -Force | Out-Null # Imposta il valore predefinito su un percorso DLL dannoso (si assume che la DLL sia già su disco) $maliciousDll = "C:Tempevil.dll" Set-ItemProperty -Path $regPath -Name '(Default)' -Value $maliciousDll # FACOLTATIVO: imposta ThreadingModel su Both (alcuni oggetti COM richiedono questo) Set-ItemProperty -Path $regPath -Name 'ThreadingModel' -Value 'Both' Write-Host "[+] Dirottamento del registro creato per CLSID $clsid puntando a $maliciousDll" -
Comandi di Pulizia:
# ------------------------------- # Pulizia Simulazione di Dirottamento COM # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsid" # Rimuovi l'intero albero delle chiavi CLSID if (Test-Path $regPath) { Remove-Item -Path $regPath -Recurse -Force Write-Host "[+] Rimosso CLSID dirottato $clsid dal registro." } else { Write-Host "[*] CLSID $clsid non presente; nulla da pulire."