SOC Prime Bias: Crítico

02 Feb 2026 11:44 UTC

UAC-0001 (APT28) Ataques Usando CVE-2026-21509

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
UAC-0001 (APT28) Ataques Usando CVE-2026-21509
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

APT28 (rastreados como UAC-0001) está explorando a nova falha divulgada no Microsoft Office CVE-2026-21509 para entregar cargas maliciosas contra alvos do governo ucraniano e organizações em toda a UE. A intrusão começa com um DOC armado que força uma solicitação WebDAV para obter componentes adicionais, depois configura um sequestro de COM para executar um carregador baseado em DLL que lança a estrutura Covenant. A atividade também utiliza Filen armazenamento em nuvem como parte de sua infraestrutura de rede. A campanha foi observada no final de janeiro de 2026.

Investigação

A análise dos arquivos DOC maliciosos mostrou que abri-los no Office inicia uma conexão WebDAV que baixa uma DLL chamada EhStoreShell.dll junto com uma imagem de shellcode PNG. A DLL é tornada persistente por meio de um sequestro de registro CLSID COM, e uma tarefa agendada chamada OneDriveHealth é usada para acionar explorer.exe, que carrega o objeto COM sequestrado. O carregador então inicia o Covenant, com controle operacional direcionado através de endpoints suportados pelo Filen.

Mitigação

Aplique a atualização do Office da Microsoft que corrige CVE-2026-21509 sem demora. Desative ou restrinja fortemente o uso de WebDAV dentro do Office onde for viável. Remova o registro de registro CLSID malicioso e exclua a tarefa agendada OneDriveHealth. Bloqueie o acesso de saída aos domínios do Filen e IPs relacionados, e monitore os endpoints para a criação dos arquivos DLL e PNG mencionados.

Resposta

Alerta sobre a criação de EhStoreShell.dll, SplashScreen.png, e alterações no caminho de registro CLSID sequestrado. Detecte e investigue a criação de tarefas agendadas correspondentes ao OneDriveHealth. Correlacione a atividade do processo Office com conexões de saída para domínios do Filen, coloque documentos relacionados em quarentena e realize perícia completa no sistema afetado.

Fluxo de Ataque

Detecções

Execução Suspeita de Taskkill (via cmdline)

Equipe SOC Prime
02 Fev 2026

Schtasks Aponta para Diretório / Binário / Script Suspeito (via cmdline)

Equipe SOC Prime
02 Fev 2026

Possível Sequestro de COM do Explorer (via registry_event)

Equipe SOC Prime
02 Fev 2026

Possível Abuso do Manipulador de Protocolo URI Search / Search-MS (via cmdline)

Equipe SOC Prime
02 Fev 2026

Comportamento Potencialmente Suspeito de Criar, Executar, Excluir Tarefa Agendada (via process_creation)

Equipe SOC Prime
02 Fev 2026

Possível Infração / Exfiltração / C2 de Dados via Serviços / Ferramentas de Terceiros (via proxy)

Equipe SOC Prime
02 Fev 2026

Possível Infração / Exfiltração / C2 de Dados via Serviços / Ferramentas de Terceiros (via dns)

Equipe SOC Prime
02 Fev 2026

LOLBAS Regsvr32 (via cmdline)

Equipe SOC Prime
02 Fev 2026

IOCs (DestinationIP) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509

Regras de IA do SOC Prime
02 Fev 2026

IOCs (HashSha256) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509

Regras de IA do SOC Prime
02 Fev 2026

IOCs (HashSha1) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509

Regras de IA do SOC Prime
02 Fev 2026

IOCs (HashMd5) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509

Regras de IA do SOC Prime
02 Fev 2026

IOCs (Emails) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509

Regras de IA do SOC Prime
02 Fev 2026

IOCs (SourceIP) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509

Regras de IA do SOC Prime
02 Fev 2026

Detecção de Sequestro de COM via Modificação de Registro [Evento de Registro do Windows]

Regras de IA do SOC Prime
02 Fev 2026

Conexões de Rede Maliciosas Relacionadas a Ataques Cibernéticos APT28 [Conexão de Rede do Windows]

Regras de IA do SOC Prime
02 Fev 2026

Criações de Arquivos Suspeitos Mascarados como Extensão de Shell de Armazenamento Avançado [Evento de Arquivo do Windows]

Regras de IA do SOC Prime
02 Fev 2026

Execução de Simulação

Pré-requisito: A Verificação Preliminar de Telemetria & Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos:
    Um adversário obteve acesso inicial na máquina da vítima e quer alcançar persistência e execução de código furtiva. Eles selecionam um CLSID raramente usado {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} que é improvável de ser referenciado por software legítimo. Usando PowerShell (T1218.010), eles escrevem o caminho da DLL maliciosa na InProcServer32 sub‑chave, opcionalmente definindo um valor de ThreadingModel para "Both" para satisfazer os requisitos de carregamento COM. Após o registro, qualquer aplicativo legítimo que tente instanciar esse objeto COM carregará a DLL controlada pelo atacante, que pode subsequentemente invocar rundll32.exe (T1218.009) para executar um payload que contata a infraestrutura de C2 do atacante (T1584.001).

  • Script de Teste de Regressão:

    # -------------------------------
    # Simulação de Sequestro de COM (T1546.015)
    # -------------------------------
    $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}'
    $regPath = "HKLM:SoftwareClassesCLSID$clsidInProcServer32"
    
    # Assegure-se de que a chave exista
    New-Item -Path $regPath -Force | Out-Null
    
    # Defina o valor padrão para um caminho de DLL malicioso (suponha que a DLL já esteja no disco)
    $maliciousDll = "C:Tempevil.dll"
    Set-ItemProperty -Path $regPath -Name '(Default)' -Value $maliciousDll
    
    # OPCIONAL: configure ThreadingModel para Both (alguns objetos COM exigem isso)
    Set-ItemProperty -Path $regPath -Name 'ThreadingModel' -Value 'Both'
    
    Write-Host "[+] Registro sequestrado criado para CLSID $clsid apontando para $maliciousDll"
  • Comandos de Limpeza:

    # -------------------------------
    # Limpeza da Simulação de Sequestro de COM
    # -------------------------------
    $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}'
    $regPath = "HKLM:SoftwareClassesCLSID$clsid"
    
    # Remova toda a árvore de chaves CLSID
    if (Test-Path $regPath) {
        Remove-Item -Path $regPath -Recurse -Force
        Write-Host "[+] CLSID sequestrado $clsid removido do registro."
    } else {
        Write-Host "[*] CLSID $clsid não presente; nada a limpar."
    }