Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
APT28 (спостерігався як UAC-0001) експлуатує нещодавно виявлену уразливість Microsoft Office з номером CVE-2026-21509 для доставки шкідливих завантажень проти українських урядових цілей та організацій по всьому ЄС. Втручання починається з використаного DOC, який змушує запит WebDAV для отримання додаткових компонентів, а потім налаштовує викрадення COM для запуску завантажувача на основі DLL, який запускає фреймворк Covenant. Активність також використовує легітимне Filen хмарне зберігання як частину своєї мережевої інфраструктури. Кампанія була помічена у кінці січня 2026 року.
Розслідування
Аналіз шкідливих DOC-файлів показав, що відкриття їх в Office ініціює з’єднання WebDAV, яке завантажує DLL під назвою EhStoreShell.dll разом із зображенням оболонки PNG. DLL стає стійким через викрадення реєстрації CLSID COM, а заплановане завдання під назвою OneDriveHealth використовується для спрацьовування explorer.exe, який завантажує викрадений об’єкт COM. Завантажувач потім запускає Covenant, з контролем оператора через кінцеві точки під керівництвом Filen.
Пом’якшення
Без зволікань застосуйте оновлення Office від Microsoft, яке вирішує CVE-2026-21509. Вимкніть або з великими обмеженнями використовуйте WebDAV в Office, де це можливо. Видаліть шкідливу реєстрацію реєстру CLSID та видаліть заплановане завдання OneDriveHealth. Блокуйте вихідний доступ до доменів Filen та пов’язаних IP, а також моніторьте кінцеві точки на створення зазначених артефактів DLL та PNG.
Відповідь
Сповістіть про створення EhStoreShell.dll, SplashScreen.png та зміни під шляхом викраденого реєстру CLSID. Виявляйте та розслідуйте створення запланованих завдань, яке відповідає OneDriveHealth. Корелюйте активність процесу Office з вихідними з’єднаннями до доменів Filen, карантинізуйте пов’язані документи та проведіть повну судмедекспертизу з уражених систем.
graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Nodes action_phishing[“<b>Дія</b> – <b>T1566.001 Вкладення спірфішингу</b><br/>APT28 надсилала шкідливі DOC-файли (наприклад, BULLETEN_H.doc), замасковані під офіційні повідомлення уряду України.”] class action_phishing action file_doc[“<b>Файл</b> – Шкідливий DOC<br/>BULLETEN_H.doc містить експлойт для CVE-2026-21509”] class file_doc file action_exploit_client[“<b>Дія</b> – <b>T1203 Експлуатація для виконання на клієнті</b><br/>Відкриття DOC використовувало CVE-2026-21509 у Microsoft Office для досягнення виконання коду.”] class action_exploit_client action action_download_payload[“<b>Дія</b> – <b>T1210 Експлуатація віддалених сервісів</b><br/>Запит WebDAV завантажував додаткові пейлоади з сервера, контрольованого зловмисником.”] class action_download_payload action file_dll[“<b>Файл</b> – Шкідлива DLL<br/>EhStoreShell.dll”] class file_dll file file_png[“<b>Файл</b> – Зображення з вбудованим shellcode<br/>SplashScreen.png”] class file_png file file_xml[“<b>Файл</b> – XML-визначення завдання<br/>office.xml”] class file_xml file action_com_hijack[“<b>Дія</b> – <b>T1546.015 COM-перехоплення</b><br/>CLSID реєстру {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} було перенаправлено на EhStoreShell.dll, що спричинило завантаження пейлоаду.”] class action_com_hijack action action_scheduled_task[“<b>Дія</b> – <b>T1546.009 AppCert DLL через заплановане завдання</b><br/>Було створено заплановане завдання \”OneDriveHealth\” (XML) для виконання шкідливої DLL і перезапуску explorer.exe з метою стійкості.”] class action_scheduled_task action action_process_injection[“<b>Дія</b> – <b>T1055.001 Інʼєкція процесу (DLL)</b><br/>EhStoreShell.dll інʼєктувала shellcode із SplashScreen.png у explorer.exe.”] class action_process_injection action process_explorer[“<b>Процес</b> – explorer.exe”] class process_explorer process action_verclsid_proxy[“<b>Дія</b> – <b>T1218.012 Proxy-виконання через системний бінарник</b><br/>Змінений CLSID змусив Windows завантажити шкідливу DLL через бінарник Verclsid.”] class action_verclsid_proxy action action_c2_webservice[“<b>Дія</b> – <b>T1102.001 / T1102.002 C2 через веб-сервіси</b><br/>C2-трафік COVENANT розміщувався на легітимних доменах хмарного сховища Filen (*.filen.io) для dead drop та двостороннього звʼязку.”] class action_c2_webservice action %% Connections action_phishing –>|доставляє| file_doc file_doc –>|ініціює| action_exploit_client action_exploit_client –>|призводить до| action_download_payload action_download_payload –>|завантажує| file_dll action_download_payload –>|завантажує| file_png action_download_payload –>|завантажує| file_xml action_download_payload –>|активує| action_com_hijack action_com_hijack –>|завантажує| file_dll action_com_hijack –>|створює| action_scheduled_task action_scheduled_task –>|виконує| file_dll action_scheduled_task –>|перезапускає| process_explorer action_process_injection –>|інʼєктує в| process_explorer file_dll –>|використовується| action_process_injection file_png –>|містить shellcode для| action_process_injection action_verclsid_proxy –>|викликає| file_dll action_c2_webservice –>|використовує| file_xml
Потік атаки
Виявлення
Підозріле виконання Taskkill (через командний рядок)
Переглянути
Schtasks вказує на підозрілий каталог / бінарний файл / скрипт (через командний рядок)
Переглянути
Може бути викрадення COM Explorer (через подію реєстру)
Переглянути
Може бути зловживання протоколом URI Search / Search-MS (через командний рядок)
Переглянути
Потенційно підозріла поведінка створення, запуску, видалення запланованого завдання (через створення процесу)
Переглянути
Можлива інфільтрація / ексфільтрація даних / C2 через сторонні сервіси / інструменти (через проксі)
Переглянути
Можлива інфільтрація / ексфільтрація даних / C2 через сторонні сервіси / інструменти (через DNS)
Переглянути
LOLBAS Regsvr32 (через командний рядок)
Переглянути
IOC (DestinationIP) для виявлення: Бюлетень CERT-UA: Нападки UAC-0001 (APT28) з використанням CVE-2026-21509
Переглянути
IOC (HashSha256) для виявлення: Бюлетень CERT-UA: Нападки UAC-0001 (APT28) з використанням CVE-2026-21509
Переглянути
IOC (HashSha1) для виявлення: Бюлетень CERT-UA: Нападки UAC-0001 (APT28) з використанням CVE-2026-21509
Переглянути
IOC (HashMd5) для виявлення: Бюлетень CERT-UA: Нападки UAC-0001 (APT28) з використанням CVE-2026-21509
Переглянути
IOC (Emails) для виявлення: Бюлетень CERT-UA: Нападки UAC-0001 (APT28) з використанням CVE-2026-21509
Переглянути
IOC (SourceIP) для виявлення: Бюлетень CERT-UA: Нападки UAC-0001 (APT28) з використанням CVE-2026-21509
Переглянути
Виявлення викрадення COM через зміну реєстру [Подія реєстру Windows]
Переглянути
Зловмисні мережеві з’єднання, пов’язані з кібернападом APT28 [З’єднання з мережею Windows]
Переглянути
Підозрілі створення файлів, навмисно маскуючись як розширення конкретних задач (Захід події Windows]
Переглянути
Виконання моделювання
Передумови: Попередня перевірка телеметрії та еталонного стану має пройти успішно.
Обґрунтування: У цьому розділі детально описується точне виконання техніки опонента (TTP), призначене для активації правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати визначені TTPs і мають на меті генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні чи непов’язані приклади призведуть до неправильної діагностики.
-
Сценарій атаки та команди:
Зловмисник отримав точку доступу на комп’ютері жертви і хоче досягти стійкості та прихованого виконання коду. Вони обирають рідко використовуваний CLSID{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}який навряд чи буде викликаний легітимним програмним забезпеченням. За допомогою PowerShell (T1218.010) вони записують шлях до шкідливого DLL у розділInProcServer32за бажанням встановлюючи значенняThreadingModelна"Both"щоб задовольнити вимоги завантаження COM. Після реєстрації будь-яка легітимна програма, яка спробує інстанціювати цей об’єкт COM, завантажить DLL, контрольований зловмисником, що може згодом викликатиrundll32.exe(T1218.009) для виконання навантаження, яке контактує з інфраструктурою C2 зловмисника (T1584.001). -
Скрипт регресивного тестування:
# ------------------------------- # Моделювання викрадення COM (T1546.015) # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsidInProcServer32" # Переконайтеся, що ключ існує New-Item -Path $regPath -Force | Out-Null # Встановіть значення за замовчуванням на шлях до шкідливого DLL (вважаймо, що DLL вже є на диску) $maliciousDll = "C:Tempevil.dll" Set-ItemProperty -Path $regPath -Name '(Default)' -Value $maliciousDll # ДОДАТКОВО: встановіть ThreadingModel на Both (деякі COM-об'єкти цього вимагають) Set-ItemProperty -Path $regPath -Name 'ThreadingModel' -Value 'Both' Write-Host "[+] Викрадення реєстру створено для CLSID $clsid, що вказує на $maliciousDll" -
Команди очищення:
# ------------------------------- # Очищення моделювання викрадення COM # ------------------------------- $clsid = '{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}' $regPath = "HKLM:SoftwareClassesCLSID$clsid" # Видалити весь ключ дерева CLSID if (Test-Path $regPath) { Remove-Item -Path $regPath -Recurse -Force Write-Host "[+] Видалено викрадений CLSID $clsid з реєстру." } else { Write-Host "[*] CLSID $clsid не присутній; нема чого чистити." }