Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
APT28 (rastreados como UAC-0001) está explorando a nova falha divulgada no Microsoft Office CVE-2026-21509 para entregar cargas maliciosas contra alvos do governo ucraniano e organizações em toda a UE. A intrusão começa com um DOC armado que força uma solicitação WebDAV para obter componentes adicionais, depois configura um sequestro de COM para executar um carregador baseado em DLL que lança a estrutura Covenant. A atividade também utiliza Filen armazenamento em nuvem como parte de sua infraestrutura de rede. A campanha foi observada no final de janeiro de 2026.
Investigação
A análise dos arquivos DOC maliciosos mostrou que abri-los no Office inicia uma conexão WebDAV que baixa uma DLL chamada EhStoreShell.dll junto com uma imagem de shellcode PNG. A DLL é tornada persistente por meio de um sequestro de registro CLSID COM, e uma tarefa agendada chamada OneDriveHealth é usada para acionar explorer.exe, que carrega o objeto COM sequestrado. O carregador então inicia o Covenant, com controle operacional direcionado através de endpoints suportados pelo Filen.
Mitigação
Aplique a atualização do Office da Microsoft que corrige CVE-2026-21509 sem demora. Desative ou restrinja fortemente o uso de WebDAV dentro do Office onde for viável. Remova o registro de registro CLSID malicioso e exclua a tarefa agendada OneDriveHealth. Bloqueie o acesso de saída aos domínios do Filen e IPs relacionados, e monitore os endpoints para a criação dos arquivos DLL e PNG mencionados.
Resposta
Alerta sobre a criação de EhStoreShell.dll, SplashScreen.png, e alterações no caminho de registro CLSID sequestrado. Detecte e investigue a criação de tarefas agendadas correspondentes ao OneDriveHealth. Correlacione a atividade do processo Office com conexões de saída para domínios do Filen, coloque documentos relacionados em quarentena e realize perícia completa no sistema afetado.
graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Nodes action_phishing[“<b>Ação</b> – <b>T1566.001 Anexo de spearphishing</b><br/>O APT28 enviou arquivos DOC maliciosos (ex.: BULLETEN_H.doc) disfarçados como comunicações do governo ucraniano.”] class action_phishing action file_doc[“<b>Arquivo</b> – DOC malicioso<br/>BULLETEN_H.doc contendo exploit para CVE-2026-21509”] class file_doc file action_exploit_client[“<b>Ação</b> – <b>T1203 Exploração para execução no cliente</b><br/>A abertura do DOC explorou a CVE-2026-21509 no Microsoft Office para obter execução de código.”] class action_exploit_client action action_download_payload[“<b>Ação</b> – <b>T1210 Exploração de serviços remotos</b><br/>Uma requisição WebDAV baixou cargas adicionais de um servidor controlado pelo atacante.”] class action_download_payload action file_dll[“<b>Arquivo</b> – DLL maliciosa<br/>EhStoreShell.dll”] class file_dll file file_png[“<b>Arquivo</b> – Imagem com shellcode embutido<br/>SplashScreen.png”] class file_png file file_xml[“<b>Arquivo</b> – Definição de tarefa XML<br/>office.xml”] class file_xml file action_com_hijack[“<b>Ação</b> – <b>T1546.015 Sequestro COM</b><br/>O CLSID do registro {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} foi redirecionado para EhStoreShell.dll, causando o carregamento do payload.”] class action_com_hijack action action_scheduled_task[“<b>Ação</b> – <b>T1546.009 DLL AppCert via tarefa agendada</b><br/>A tarefa agendada \”OneDriveHealth\” (XML) foi criada para executar a DLL maliciosa e reiniciar o explorer.exe como persistência.”] class action_scheduled_task action action_process_injection[“<b>Ação</b> – <b>T1055.001 Injeção de processo (DLL)</b><br/>EhStoreShell.dll injetou shellcode do SplashScreen.png no explorer.exe.”] class action_process_injection action process_explorer[“<b>Processo</b> – explorer.exe”] class process_explorer process action_verclsid_proxy[“<b>Ação</b> – <b>T1218.012 Execução proxy por binário do sistema</b><br/>O CLSID modificado fez com que o Windows carregasse a DLL maliciosa através do binário Verclsid.”] class action_verclsid_proxy action action_c2_webservice[“<b>Ação</b> – <b>T1102.001 / T1102.002 C2 via serviço web</b><br/>O tráfego C2 do COVENANT foi hospedado em domínios legítimos do Filen (*.filen.io) como dead drop e comunicação bidirecional.”] class action_c2_webservice action %% Connections action_phishing –>|entrega| file_doc file_doc –>|aciona| action_exploit_client action_exploit_client –>|leva a| action_download_payload action_download_payload –>|baixa| file_dll action_download_payload –>|baixa| file_png action_download_payload –>|baixa| file_xml action_download_payload –>|habilita| action_com_hijack action_com_hijack –>|carrega| file_dll action_com_hijack –>|cria| action_scheduled_task action_scheduled_task –>|executa| file_dll action_scheduled_task –>|reinicia| process_explorer action_process_injection –>|injeta em| process_explorer file_dll –>|usado por| action_process_injection file_png –>|contém shellcode para| action_process_injection action_verclsid_proxy –>|invoca| file_dll action_c2_webservice –>|comunica via| file_xml
Fluxo de Ataque
Detecções
Execução Suspeita de Taskkill (via cmdline)
Ver
Schtasks Aponta para Diretório / Binário / Script Suspeito (via cmdline)
Ver
Possível Sequestro de COM do Explorer (via registry_event)
Ver
Possível Abuso do Manipulador de Protocolo URI Search / Search-MS (via cmdline)
Ver
Comportamento Potencialmente Suspeito de Criar, Executar, Excluir Tarefa Agendada (via process_creation)
Ver
Possível Infração / Exfiltração / C2 de Dados via Serviços / Ferramentas de Terceiros (via proxy)
Ver
Possível Infração / Exfiltração / C2 de Dados via Serviços / Ferramentas de Terceiros (via dns)
Ver
LOLBAS Regsvr32 (via cmdline)
Ver
IOCs (DestinationIP) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (HashSha256) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (HashSha1) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (HashMd5) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (Emails) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (SourceIP) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
Detecção de Sequestro de COM via Modificação de Registro [Evento de Registro do Windows]
Ver
Conexões de Rede Maliciosas Relacionadas a Ataques Cibernéticos APT28 [Conexão de Rede do Windows]
Ver
Criações de Arquivos Suspeitos Mascarados como Extensão de Shell de Armazenamento Avançado [Evento de Arquivo do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação Preliminar de Telemetria & Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
Um adversário obteve acesso inicial na máquina da vítima e quer alcançar persistência e execução de código furtiva. Eles selecionam um CLSID raramente usado{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}que é improvável de ser referenciado por software legítimo. Usando PowerShell (T1218.010), eles escrevem o caminho da DLL maliciosa naInProcServer32sub‑chave, opcionalmente definindo um valor deThreadingModelpara"Both"para satisfazer os requisitos de carregamento COM. Após o registro, qualquer aplicativo legítimo que tente instanciar esse objeto COM carregará a DLL controlada pelo atacante, que pode subsequentemente invocarrundll32.exe(T1218.009) para executar um payload que contata a infraestrutura de C2 do atacante (T1584.001). -
Script de Teste de Regressão:
# ------------------------------- # Simulação de Sequestro de COM (T1546.015) # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsidInProcServer32" # Assegure-se de que a chave exista New-Item -Path $regPath -Force | Out-Null # Defina o valor padrão para um caminho de DLL malicioso (suponha que a DLL já esteja no disco) $maliciousDll = "C:Tempevil.dll" Set-ItemProperty -Path $regPath -Name '(Default)' -Value $maliciousDll # OPCIONAL: configure ThreadingModel para Both (alguns objetos COM exigem isso) Set-ItemProperty -Path $regPath -Name 'ThreadingModel' -Value 'Both' Write-Host "[+] Registro sequestrado criado para CLSID $clsid apontando para $maliciousDll" -
Comandos de Limpeza:
# ------------------------------- # Limpeza da Simulação de Sequestro de COM # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsid" # Remova toda a árvore de chaves CLSID if (Test-Path $regPath) { Remove-Item -Path $regPath -Recurse -Force Write-Host "[+] CLSID sequestrado $clsid removido do registro." } else { Write-Host "[*] CLSID $clsid não presente; nada a limpar." }