UAC-0001 (APT28) Ataques Usando CVE-2026-21509
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
APT28 (rastreados como UAC-0001) está explorando a nova falha divulgada no Microsoft Office CVE-2026-21509 para entregar cargas maliciosas contra alvos do governo ucraniano e organizações em toda a UE. A intrusão começa com um DOC armado que força uma solicitação WebDAV para obter componentes adicionais, depois configura um sequestro de COM para executar um carregador baseado em DLL que lança a estrutura Covenant. A atividade também utiliza Filen armazenamento em nuvem como parte de sua infraestrutura de rede. A campanha foi observada no final de janeiro de 2026.
Investigação
A análise dos arquivos DOC maliciosos mostrou que abri-los no Office inicia uma conexão WebDAV que baixa uma DLL chamada EhStoreShell.dll junto com uma imagem de shellcode PNG. A DLL é tornada persistente por meio de um sequestro de registro CLSID COM, e uma tarefa agendada chamada OneDriveHealth é usada para acionar explorer.exe, que carrega o objeto COM sequestrado. O carregador então inicia o Covenant, com controle operacional direcionado através de endpoints suportados pelo Filen.
Mitigação
Aplique a atualização do Office da Microsoft que corrige CVE-2026-21509 sem demora. Desative ou restrinja fortemente o uso de WebDAV dentro do Office onde for viável. Remova o registro de registro CLSID malicioso e exclua a tarefa agendada OneDriveHealth. Bloqueie o acesso de saída aos domínios do Filen e IPs relacionados, e monitore os endpoints para a criação dos arquivos DLL e PNG mencionados.
Resposta
Alerta sobre a criação de EhStoreShell.dll, SplashScreen.png, e alterações no caminho de registro CLSID sequestrado. Detecte e investigue a criação de tarefas agendadas correspondentes ao OneDriveHealth. Correlacione a atividade do processo Office com conexões de saída para domínios do Filen, coloque documentos relacionados em quarentena e realize perícia completa no sistema afetado.
Fluxo de Ataque
Detecções
Execução Suspeita de Taskkill (via cmdline)
Ver
Schtasks Aponta para Diretório / Binário / Script Suspeito (via cmdline)
Ver
Possível Sequestro de COM do Explorer (via registry_event)
Ver
Possível Abuso do Manipulador de Protocolo URI Search / Search-MS (via cmdline)
Ver
Comportamento Potencialmente Suspeito de Criar, Executar, Excluir Tarefa Agendada (via process_creation)
Ver
Possível Infração / Exfiltração / C2 de Dados via Serviços / Ferramentas de Terceiros (via proxy)
Ver
Possível Infração / Exfiltração / C2 de Dados via Serviços / Ferramentas de Terceiros (via dns)
Ver
LOLBAS Regsvr32 (via cmdline)
Ver
IOCs (DestinationIP) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (HashSha256) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (HashSha1) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (HashMd5) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (Emails) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
IOCs (SourceIP) para detectar: CERT-UA Boletim: Ataques UAC-0001 (APT28) Usando o CVE-2026-21509
Ver
Detecção de Sequestro de COM via Modificação de Registro [Evento de Registro do Windows]
Ver
Conexões de Rede Maliciosas Relacionadas a Ataques Cibernéticos APT28 [Conexão de Rede do Windows]
Ver
Criações de Arquivos Suspeitos Mascarados como Extensão de Shell de Armazenamento Avançado [Evento de Arquivo do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação Preliminar de Telemetria & Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
Um adversário obteve acesso inicial na máquina da vítima e quer alcançar persistência e execução de código furtiva. Eles selecionam um CLSID raramente usado{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}que é improvável de ser referenciado por software legítimo. Usando PowerShell (T1218.010), eles escrevem o caminho da DLL maliciosa naInProcServer32sub‑chave, opcionalmente definindo um valor deThreadingModelpara"Both"para satisfazer os requisitos de carregamento COM. Após o registro, qualquer aplicativo legítimo que tente instanciar esse objeto COM carregará a DLL controlada pelo atacante, que pode subsequentemente invocarrundll32.exe(T1218.009) para executar um payload que contata a infraestrutura de C2 do atacante (T1584.001). -
Script de Teste de Regressão:
# ------------------------------- # Simulação de Sequestro de COM (T1546.015) # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsidInProcServer32" # Assegure-se de que a chave exista New-Item -Path $regPath -Force | Out-Null # Defina o valor padrão para um caminho de DLL malicioso (suponha que a DLL já esteja no disco) $maliciousDll = "C:Tempevil.dll" Set-ItemProperty -Path $regPath -Name '(Default)' -Value $maliciousDll # OPCIONAL: configure ThreadingModel para Both (alguns objetos COM exigem isso) Set-ItemProperty -Path $regPath -Name 'ThreadingModel' -Value 'Both' Write-Host "[+] Registro sequestrado criado para CLSID $clsid apontando para $maliciousDll" -
Comandos de Limpeza:
# ------------------------------- # Limpeza da Simulação de Sequestro de COM # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsid" # Remova toda a árvore de chaves CLSID if (Test-Path $regPath) { Remove-Item -Path $regPath -Recurse -Force Write-Host "[+] CLSID sequestrado $clsid removido do registro." } else { Write-Host "[*] CLSID $clsid não presente; nada a limpar." }